Microsoft lunedì ha rivelato di aver adottato misure per interrompere le operazioni di phishing intraprese da un “autore di minacce altamente insistente” i cui obiettivi sono strettamente allineati con gli interessi dello stato russo.
La società sta monitorando il cluster di attività orientato allo spionaggio sotto il suo soprannome a tema elemento chimico SEABORGIUM, che secondo lei si sovrappone a un gruppo di hacker noto anche come Callisto, COLDRIVER e TA446.
Phishing e hacker collegati alla Russia, Microsoft ci spiega i rischi
“Le intrusioni di SEABORGIUM sono state anche collegate a campagne di hack-and-leak, in cui i dati rubati e trapelati vengono utilizzati per dare forma alle narrazioni nei paesi presi di mira“, hanno dichiarato i team di caccia alle minacce minacce informatiche di Microsoft. “Le sue campagne coinvolgono persistenti campagne di phishing e furto di credenziali che portano a intrusioni e furto di dati“.
È noto che attacchi collettivi prendono di mira le stesse organizzazioni utilizzando metodologie molto insistenti applicate per lunghi periodi di tempo, consentendo loro di infiltrarsi nei social network delle vittime attraverso una combinazione di impersonificazione (abbiamo già visto qualcosa del genere se ricordi), creazione di rapporti e soprattutto phishing.
Microsoft ha dichiarato di aver osservato che ci sono “solo lievi cambiamenti nei loro approcci di ingegneria sociale e nel modo in cui forniscono l’URL dannoso iniziale ai loro obiettivi“.
In parole povere: hai presente quei profili fasulli su Instagram e su Facebook che ti danno link strani? Proprio quelli.
Traduzione per chi non mastica l’inglese.
“Cari colleghi,
nel contesto di crescita di tensione nella comunità internazionale e di aumento del numero di attività dei gruppi di hacker operativi nel campo dell’informazione, stiamo registrando tentativi da parte di persone non identificate di attaccare le strutture di informazioni dei nostri istituti.
Prima di tutto, collaboriamo con esperti di sicurezza dell’informazione per aumentare il livello di sicurezza delle nostre risorse.
Allo stesso tempo, non dimentichiamoci dell’addestramento personale di ogni dipendente.
Per la vostra sicurezza e sicurezza informativa, abbiamo preparato del materiale analitico per possibili revisioni
Speriamo che con uno sforzo congiunto riusciremo a raggiungere un successo significativo nella sicurezza del nostro istituto.
Cordialmente [nome censurato]”
Quali sono gli obbiettivi di questi hacker secondo Microsoft?
Gli obiettivi primari includono società di consulenza per la difesa e l’intelligence, organizzazioni non governative (ONG) e organizzazioni intergovernative (IGO), gruppi di riflessione ed enti di istruzione superiore con sede negli Stati Uniti e nel Regno Unito e, in misura minore, nei Paesi baltici, nordici, e dell’Europa orientale.
Ulteriori bersagli di interesse sono ex funzionari dell’intelligence, esperti in affari russi e cittadini russi all’estero.
Si stima che più di 30 organizzazioni e account personali siano stati i destinatari delle sue campagne di questo gruppo di hacker dall’inizio del 2022.
Tutto inizia con una ricognizione delle potenziali vittime, sfruttando i profili falsi creati su piattaforme di social media come LinkedIn o Facebook, prima di stabilire un contatto con loro tramite missive e-mail apparentemente innocue provenienti da account appena registrati e configurati per corrispondere ai nomi delle persone corrispondenti (dei bot, in sostanza).
Nel caso in cui l’obiettivo cada vittima del tentativo di ingegneria sociale, l’attore della minaccia attiva la sequenza di attacco inviando un messaggio con un URL che incorpora un documento PDF con altrettanti URL trappola o un collegamento a un file ospitato su OneDrive.
Microsoft ci spiega come agiscono questi hacker
“SEABORGIUM abusa anche di OneDrive per ospitare file PDF che contengono un collegamento all’URL dannoso“, ha affermato Microsoft. “Gli autori includono un collegamento OneDrive nel corpo dell’e-mail che, se cliccato, indirizza l’utente a un file PDF ospitato all’interno di un account OneDrive controllato da SEABORGIUM“.
Inoltre, è stato scoperto che l’avversario maschera la sua infrastruttura operativa ricorrendo a cambiamenti di indirizzo IP (le VPN, in pratica) aperti, apparentemente innocui, per inviare gli utenti al server dannoso, che, a sua volta, richiede agli utenti di inserire le proprie credenziali per visualizzare il contenuto.
L’ultima fase degli attacchi prevede l’abuso delle credenziali rubate per accedere agli account e-mail della vittima, l’utilizzo di accessi non autorizzati per rubare e-mail e allegati, mandare poi vari messaggi tramite inoltro delle e-mail per garantire una raccolta continua dei dati e altre attività successive.
“Ci sono stati diversi casi in cui SEABORGIUM è stato osservato utilizzare i propri account di rappresentazione per facilitare il dialogo con persone specifiche di interesse e, di conseguenza, è stato incluso in conversazioni, a volte inconsapevolmente, che hanno coinvolto più parti“, ha sottolineato Redmond.
La società di sicurezza aziendale Proofpoint, che rintraccia l’autore sotto il nome TA446, ha sottolineato l’inclinazione del gruppo alla ricognizione e alla rappresentazione sofisticata per la consegna di collegamenti fraudolenti.
“TA446 crea un gioco di tira e molla indipendentemente dal fatto che si stiano verificando le informazioni“, ha detto a The Hacker News Sherrod DeGrippo, vicepresidente della ricerca e rilevamento delle minacce presso Proofpoint. “L’autore delle minacce registra e cambia rapidamente quali persone e alias stanno imitando negli indirizzi e-mail [i profili falsi bot] dei consumatori e nell’infrastruttura che crea“.
“TA446 è un autore di minacce che esegue ricognizioni sui destinatari previsti e crea account di posta elettronica consumer basati su persone che è probabile che i destinatari conoscano o lavorino nella stessa professione“, ha aggiunto DeGrippo.
Quindi, se non vuoi avere a che fare con qualcuno tra questi hacker (non solo legato alla Russia) fai molta attenzione ai profili falsi che danno link strani, su Facebook e Instagram ce ne sono a pacchi e non scaricare PDF da questi link.
