微軟威脅情報中心(MSTIC)剛剛就“SEABORGIUM”網絡釣魚活動發出警告。盡管其自2017年就已存在,但該公司還是觀察到相當多的案例,因而決定提供全面指導、以免潛在的受害者中招。據悉,SEABORGIUM的危險之處,在於攻擊者利用別樣的攻擊方式。
圖 1 - 冒充並建立聯系
起初 SEABORGIUM 會使用欺詐性的社交媒體資料,對潛在受害者展開或淺或深的觀察,甚至創建幾個電子郵件地址來冒充其它有真實身份的聯系人 ID 。
圖 2 - 常用多電子郵件建立融洽關系
在騙取受害者信任後,SEABORGIUM 攻擊者會直接在 Email 中嵌入惡意鏈接或附件,且通常會偽裝成微軟 OneDrive 等托管服務。
圖 3 - 釣魚郵件示例
在不附帶惡意附件的情況下,SEABORGIUM 攻擊者會附上精心設計的惡意 URL,以將受害者誘騙到網絡釣魚門戶。
圖 - 4:仿冒 OneDrive 官方文檔分享郵件
慶幸的是,微軟官方已經意識到自傢服務被濫用,且 SEABORGIUM 攻擊者會利用 EvilGinx 網絡釣魚工具包來竊取受害者的憑據。
圖 5 - 以俄烏沖突話題為幌子的惡意 PDF 郵件附件
在全面深入分析的過程中,微軟著重觀察 SEABORGIUM 釣魚活動涉及的數據和信息泄露操作。
圖 6 - 假裝 PDF 文檔預覽失敗,引誘受害者點擊並重定向至惡意鏈接。
微軟指出,在少數情況下,SEABORGIUM 攻擊者可長期訪問並收集受害者的郵件賬戶數據。
圖 7 - 利用 Google Drive 網盤,將鏈接重定向至受攻擊者控制的基礎設施。
在不止一次的情況下,微軟觀察到攻擊者能夠訪問敏感群體的郵件列表數據 —— 例如與前情報官員聯系密切的賬戶 —— 並在此基礎上謀劃後續定位與滲透。
圖 8 - 直接克隆並假冒受害組織的釣魚網站
有關 SEABORGIUM 網絡釣魚活動的更多細節和防護建議,還請移步至 Microsoft Security 官網查看(傳送門)。