微軟威脅情報中心(MSTIC)剛剛就“SEABORGIUM”網絡釣魚活動發出了警告。儘管其自 2017 年就已存在,但該公司還是觀察到了相當多的案例,因而決定提供全面指導、以免潛在的受害者中招。據悉,SEABORGIUM 的危險之處,在於攻擊者利用了別樣的攻擊方式。
圖 1 – 冒充並建立聯繫
起初 SEABORGIUM 會使用欺詐性的社交媒體資料,對潛在受害者展開或淺或深的觀察,甚至創建了幾個電子郵件地址來冒充其它有真實身份的聯繫人 ID 。
圖 2 – 常用多電子郵件建立融洽關係
在騙取受害者信任后,SEABORGIUM 攻擊者會直接在 Email 中嵌入惡意鏈接或附件,且通常會偽裝成微軟 OneDrive 等託管服務。
圖 3 – 釣魚郵件示例
在不附帶惡意附件的情況下,SEABORGIUM 攻擊者會附上精心設計的惡意 URL,以將受害者誘騙到網絡釣魚門戶。
圖 – 4:仿冒 OneDrive 官方文檔分享郵件
慶幸的是,微軟官方已經意識到了自家服務被濫用,且 SEABORGIUM 攻擊者會利用 EvilGinx 網絡釣魚工具包來竊取受害者的憑據。
圖 5 – 以俄烏衝突話題為幌子的惡意 PDF 郵件附件
在全面深入分析的過程中,微軟着重觀察了 SEABORGIUM 釣魚活動涉及的數據和信息泄露操作。
圖 6 – 假裝 PDF 文檔預覽失敗,引誘受害者點擊並重定向至惡意鏈接。
微軟指出,在少數情況下,SEABORGIUM 攻擊者可長期訪問並收集受害者的郵件賬戶數據。
圖 7 – 利用 Google Drive 網盤,將鏈接重定向至受攻擊者控制的基礎設施。
在不止一次的情況下,微軟觀察到攻擊者能夠訪問敏感群體的郵件列表數據 —— 例如與前情報官員聯繫密切的賬戶 —— 並在此基礎上謀划後續定位與滲透。
圖 8 – 直接克隆並假冒受害組織的釣魚網站
有關 SEABORGIUM 網絡釣魚活動的更多細節和防護建議,還請移步至 Microsoft Security 官網查看(傳送門)。