微软威胁情报中心(MSTIC)刚刚就“SEABORGIUM”网络钓鱼活动发出了警告。尽管其自 2017 年就已存在,但该公司还是观察到了相当多的案例,因而决定提供全面指导、以免潜在的受害者中招。据悉,SEABORGIUM 的危险之处,在于攻击者利用了别样的攻击方式。 图 1 - 冒充并建立联系 起初 SEABORGIUM 会使用欺诈性的社交媒体资料,对潜在受害者展开或浅或深的观察,甚至创建了几个电子邮件地址来冒充其它有真实身份的联系人 ID 。 图 2 - 常用多电子邮件建立融洽关系 在骗取受害者信任后,SEABORGIUM 攻击者会直接在 Email 中嵌入恶意链接或附件,且通常会伪装成微软 OneDrive 等托管服务。 图 3 - 钓鱼邮件示例 在不附带恶意附件的情况下,SEABORGIUM 攻击者会附上精心设计的恶意 URL,以将受害者诱骗到网络钓鱼门户。 图 - 4:仿冒 OneDrive 官方文档分享邮件 庆幸的是,微软官方已经意识到了自家服务被滥用,且 SEABORGIUM 攻击者会利用 EvilGinx 网络钓鱼工具包来窃取受害者的凭据。 图 5 - 以俄乌冲突话题为幌子的恶意 PDF 邮件附件 在全面深入分析的过程中,微软着重观察了 SEABORGIUM 钓鱼活动涉及的数据和信息泄露操作。 图 6 - 假装 PDF 文档预览失败,引诱受害者点击并重定向至恶意链接。 微软指出,在少数情况下,SEABORGIUM 攻击者可长期访问并收集受害者的邮件账户数据。 图 7 - 利用 Google Drive 网盘,将链接重定向至受攻击者控制的基础设施。 在不止一次的情况下,微软观察到攻击者能够访问敏感群体的邮件列表数据 —— 例如与前情报官员联系密切的账户 —— 并在此基础上谋划后续定位与渗透。 图 8 - 直接克隆并假冒受害组织的钓鱼网站 有关 SEABORGIUM 网络钓鱼活动的更多细节和防护建议,还请移步至 Microsoft Security 官网查看(传送门)。
