Il Microsoft Threat Intelligence Center (MSTIC) ha rilevato diverse campagne di phishing avviate dal gruppo russo SEABORGIUM contro oltre 30 organizzazioni di paesi NATO. Grazie all’aiuto del Google Threat Analysis Group (TAG) e del Proofpoint Threat Research Team, l’azienda di Redmond ha bloccato gli attacchi e chiuso gli account Outlook, OneDrive e LinkedIn usati dai cybercriminali. Il consiglio è sempre quello di utilizzare una soluzione di sicurezza che può intercettare questo tipo di minaccia.
SEABORGIUM: phishing avanzato
Prima di avviare una campagna, il gruppo SEABORGIUM raccoglie gli indirizzi email pubblici dei bersagli, con i quali cerca successivamente di stabilire un contatto. In alcuni casi i cybercriminali utilizzano account fasulli di LinkedIn per non destare sospetti. Attraverso tecniche di ingegneria sociale (il mittente delle email sembra un collega o un superiore), la vittima viene convinta a cliccare su un link o scaricare un allegato.
Il link presente nel corpo dell’email punta ad un file DOCX o PDF su OneDrive. L’allegato è solitamente un file PDF. In tutti i casi, quando l’utente clicca sul link contenuto nei file, viene aperto un sito di phishing ospitato sul server gestito dalla gang. Le credenziali di login inserite nella pagina vengono successivamente utilizzate per accedere all’account email della vittima e rubare i messaggi ricevuti. In alcuni casi viene anche creata una regola per il forwarding delle email agli account dei cybercriminali.
In base ai target scelti e ai dati sottratti, Microsoft afferma che gli attacchi di phishing sono eseguiti a scopo di spionaggio. L’azienda di Redmond consiglia di disattivare l’inoltro automatico, impostare i filtri per le email e utilizzare l’autenticazione in due fattori.