Команда американской корпорации Microsoft Threat Intelligence Center (MSTIC) сообщила о срыве кибероперации по взлому и применения методов социальной инженерии, которую организовали «русские хакеры» из группировки SEABORGIUM. Уточняется, что основными целями киберзлоумышленников были пользователи и организации из стран Североатлантического альянса, сообщает издание Bleeping Computer.
В MSTIC заявили, что группировка SEABORGIUM (TA446, ColdRiver) нацелена, прежде всего, на цели в странах НАТО, но основные хакерские компании она проводила в балтийских, скандинавских, восточноевропейских странах, а также на Украине.
В Microsoft предполагают, что хакерская группа в ходе своих атак старается украсть содержимое конфиденциальных электронных писем людей и организаций, которые якобы представляют интерес для российской разведки, а также их учетные данные к различным сервисам и службам.
«В целевых странах SEABORGIUM, прежде всего, проводит операции против оборонных и разведывательных консалтинговых организаций, неправительственных организаций (НПО) и межправительственных организаций (МПО), аналитических центров, образовательных учреждений», — сказано в опубликованном корпорацией Microsoft отчете.
По словам экспертов, хакеры из SEABORGIUM создают поддельные страницы в социальных сетях, учетные записи в профильных онлайн-сервисах, которые применяются в дальнейшем для проведения фишинговых атак с использованием методов социальной инженерии.
«Используя фейковые личности, злоумышленники связываются с интересующими их пользователями, чтобы завязать разговор и установить взаимопонимание, что в конечном итоге приводит к отправке фишингового вложения», – уточнили в Microsoft.
В Microsoft заявили, что фиксировали, как злоумышленники из SEABORGIUM распространяли в качестве вложений по электронной почте вредоносные PDF-файлами, ссылки на службы хостинга файлов или в учетные записи OneDrive, на которых размещены фейковые PDF-документы.
Независимо от того, как злоумышленники отправляют целевому пользователю PDF-файл, после открытия вложения жертве демонстрируется сообщение о том, что документ не может быть просмотрен, поэтому она должна нажать кнопку, чтобы повторить попытку. Нажатие на эту кнопку ведёт жертву на целевую страницу, на которой запущены фишинговые фреймворки, такие как EvilGinx, для отображения формы входа в конкретную службу.
Поскольку EvilGinx действует как прокси, злоумышленники могут украсть введенные учетные данные и файлы cookie/токены аутентификации, сгенерированные после того, как пользователь войдет в свою учетную запись.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
