Dalla Russia con furore. Arriva da lì l’ormai noto Seaborgium, una pericolosissima minaccia nonché autore di tantissimi attacchi phishing, andati a segno nell’ultimo periodo, prendendo di mira obiettivi e vittimologia che si allineano strettamente con gli interessi dello stato russo.
Sono anni che il Microsoft Threat Intelligence Center (MSTIC) ha osservato e intrapreso azioni per interrompere le campagne lanciate dal Seaborgium, fin dal lontano 2017. Le sue campagne coinvolgono persistenti campagne di phishing e furto di credenziali che portano a intrusioni e furto di dati.
Le intrusioni di Seaborgium sono state anche collegate a campagne hack-and-leak, in cui i dati rubati e trapelati vengono utilizzati per dare forma alle narrazioni nei paesi presi di mira.
Come attacca il Seaborgium. E come difendersi
E’ scesa in campo Microsoft per bloccare innumerevoli campagne di phishing. “Sebbene non possiamo escludere che elementi di supporto del gruppo possano avere affiliazioni attuali o precedenti con ecosistemi criminali o altri non statali – fa notare il colosso di Redmond, nel suo blog – MSTIC desidera ringraziare il Google Threat Analysis Group (TAG) e il Proofpoint Threat Research Team per la loro collaborazione nel tracciare e interrompere questo attore”.
La capacità di Microsoft di rilevare e monitorare l’abuso dei servizi Microsoft da parte di Seaborgium, in particolare OneDrive, ha fornito a MSTIC una visibilità continua sulle attività dell’autore di (tante) minacce, consentendo di informare i clienti interessati.
Come risultato di queste indagini sugli abusi dei servizi, MSTIC ha collaborato con i team di Microsoft per gli abusi per disabilitare gli account utilizzati dall’attore per la ricognizione, il phishing e la raccolta di posta elettronica.
Dall’inizio del 2022, Microsoft ha osservato le campagne Seaborgium rivolte a oltre 30 organizzazioni, oltre agli account personali di persone di interesse. Presi di mira principalmente i paesi della NATO, in particolare gli Stati Uniti e il Regno Unito, con occasionali attacchi ad altri paesi dei paesi baltici, nordici e dell’Europa orientale.
Tale obiettivo, rileva Microsoft ha incluso il settore governativo dell’Ucraina nei mesi precedenti l’invasione della Russia e le organizzazioni coinvolte in ruoli di supporto per la guerra in Ucraina.
Nonostante alcuni obiettivi di queste organizzazioni, Microsoft ritiene che l’Ucraina non sia probabilmente un obiettivo primario per questo attore; tuttavia, è molto probabilmente un’area di interesse reattiva per l’attore e uno dei tanti target diversi.
Prima di iniziare una campagna, Seaborgium conduce spesso la ricognizione degli individui target, con particolare attenzione all’identificazione di contatti legittimi nella rete sociale distante o nella sfera di influenza degli obiettivi.
Sulla base di alcuni dei furti di identità e di targeting osservati, Microsoft sospetta che Seaborgium utilizzi piattaforme di social media, directory personali e intelligence generale open source (OSINT) per integrare i propri sforzi di ricognizione. Il consiglio, in questi casi, è sempre lo stesso, il più funzionale: usare una soluzione di sicurezza che può intercettare questo tipo di minaccia.