Microsoft Tehdit İstihbarat Merkezi (MSTIC), SEABORGIUM olarak izlenen ve NATO ülkelerindeki insanları ve kuruluşları hedef alan bir Rus tehdit aktörüyle bağlantılı bir bilgisayar korsanlığı ve sosyal mühendislik operasyonunu kesintiye uğrattı.
Microsoft, Google tarafından ColdRiver ve Proofpoint tarafından TA446 olarak da bilinen SEABORGIUM’un öncelikle NATO ülkelerini hedef aldığını, ancak Ukrayna da dahil olmak üzere Baltık, Kuzey ve Doğu Avrupa bölgelerinde kampanyalar gördüğünü söylüyor.
Rus devlet destekli bir hack grubu olduğuna inanılan tehdit aktörleri, kuruluşlardan ve Rusya’yı ilgilendiren kişilerden hassas e-postaları çalmaya çalışıyor.
Microsoft, bugün yayınlanan bir raporda, “Hedef ülkelerde, SEABORGIUM operasyonlarını öncelikle savunma ve istihbarat danışmanlığı şirketleri, sivil toplum kuruluşları (STK’lar) ve hükümetler arası kuruluşlar (IGO’lar), düşünce kuruluşları ve yüksek öğrenim üzerine yoğunlaştırıyor” diye açıklıyor.
“SEABORGIUM’un eski istihbarat yetkililerini, Rus işlerindeki uzmanları ve yurtdışındaki Rus vatandaşlarını hedef aldığı gözlemlendi.”
Sosyal mühendislik e-posta hırsızlığına yol açıyor
SEABORGIUM, hedeflenen kişi ve kuruluşlara karşı sosyal mühendislik kampanyalarında kullanılan e-posta, sosyal medya ve LinkedIn hesapları aracılığıyla çevrimiçi kişilikler oluşturur.
Tehdit aktörleri, sahte kişileri kullanarak, bir sohbet başlatmak ve bir ilişki kurmak için ilgili kişilerle iletişim kurar ve sonuçta bir kimlik avı eki göndermeye yol açar.
Microsoft, tehdit aktörlerinin ekleri PDF ekli e-postalar, dosya barındırma hizmetlerine bağlantılar veya PDF belgelerini barındıran OneDrive hesapları aracılığıyla dağıttığını gördüklerini söylüyor.

Kaynak: Microsoft
Tehdit aktörlerinin PDF’yi nasıl dağıttığına bakılmaksızın, bir kez açıldığında, ek kurbana belgenin görüntülenemediğini ve tekrar denemek için bir düğmeye tıklamaları gerektiğini belirten bir mesaj gösterecektir.

Kaynak: Microsoft
Bu düğmeye tıklamak, kurbanı, belirli bir hizmet için bir oturum açma formu görüntülemek üzere EvilGinx gibi kimlik avı çerçeveleri çalıştıran bir açılış sayfasına götürür.
Ancak, EvilGinx bir proxy görevi gördüğünden, tehdit aktörleri, bir kullanıcı hesabına giriş yaptıktan sonra oluşturulan girilen kimlik bilgilerini ve kimlik doğrulama çerezlerini/belirteçlerini çalabilir.
Bu çalıntı kimlik doğrulama jetonları, 2FA etkinleştirilmiş olsa bile tehdit aktörlerinin güvenliği ihlal edilmiş bir kullanıcının hesabına giriş yapmasına izin verir.
Bilgisayar korsanları, hedeflenen e-posta hesabına eriştikten sonra, Microsoft, e-postaları ve ekleri çaldıklarını veya ele geçirilen hesaba gönderilen tüm yeni e-postaları almak için yönlendirme kuralları ayarladıklarını söylüyor.
Microsoft ayrıca, tehdit aktörlerinin, hassas bilgilere erişmek için diğer ilgili kişilerle kurban olarak konuşmalar yapmak için ihlal edilen hesabı kullandığını gördü.
Mayıs 2022’de, Google ve Microsoft, tehdit aktörleri tarafından İngiltere’deki siyasi kuruluşlardan ve aktivistlerden belge çalmak için gerçekleştirilen saldırıları tespit etti.
Microsoft tarafından görülen kampanyada SEABORGIUM, bir İngiliz siyasi örgütünden belgeler çaldı ve bu belgeler daha sonra sosyal medyada ve bir PDF paylaşım sitesinde dağıtıldı.
tarafından açıklanan bir saldırıda Reuters ve Google, SEABORGIUM, Brexit yanlısı aktivistlerin e-postalarını ve belgelerini çaldı ve bunlar daha sonra internete sızdırıldı.
SEABORGIUM’u bozmak
Bugün Microsoft, gözetleme, kimlik avı ve e-posta toplama için kullanılan hesapları devre dışı bırakarak SEABORGIUM’un kampanyalarını bozmak için harekete geçtiklerini söylüyor.
Microsoft ayrıca tehdit aktörünün Microsoft, ProtonMail ve Yandex hesaplarının kimlik bilgilerini çalmak için kullandığı kimlik avı kampanyalarıyla ilişkili olduğuna inanılan altmış dokuz etki alanını da paylaştı.
Alan adlarının tam listesi şurada bulunabilir: Microsoft’un tavsiyesiağ savunucularının benzer saldırıları önlemek için kullanabileceği güvenlik önlemlerinin yanı sıra.
Savunmalar, Microsoft 365’te e-posta otomatik iletmeyi devre dışı bırakmayı, olası güvenlik ihlallerini araştırmak için IOC’leri kullanmayı, tüm hesaplarda MFA gerektirmeyi ve daha fazla güvenlik için FIDO güvenlik anahtarları gerektirmeyi içerir.
Microsoft ayrıca Azure Sentinel avcılık sorgularını yayınladı [1, 2] kötü amaçlı etkinliği kontrol etmek için kullanılabilir.