Microsoft legt russische Phisher lahm

Das Microsoft Threat Intelligence Center (MSTIC) hat Kampagnen von SEABORGIUM, einem Akteur, den Microsoft seit 2017 verfolgt, beobachtet und Maßnahmen ergriffen, um diese zu stören. SEABORGIUM ist ein Bedrohungsakteur, der aus Russland stammt und dessen Ziele und Viktimologie eng mit den Interessen des russischen Staates übereinstimmen. Seine Kampagnen umfassen hartnäckige Phishing- und Anmeldedaten-Diebstahl-Kampagnen, die zu Einbrüchen und Datendiebstahl führen.

SEABORGIUM-Eindringlinge wurden auch mit Hack-and-Leak-Kampagnen in Verbindung gebracht, bei denen gestohlene und durchgesickerte Daten dazu verwendet werden, die Berichterstattung in den Zielländern zu beeinflussen. MSTIC geht davon aus, dass die bei SEABORGIUM-Eindringlingen gesammelten Informationen wahrscheinlich traditionellen Spionagezielen und Informationsoperationen dienen und nicht  finanziellen Motiven.

MSTIC möchte der Google Threat Analysis Group (TAG) und dem Proofpoint Threat Research Team für ihre Zusammenarbeit bei der Verfolgung und Unterbrechung dieses Akteurs danken. Microsofts Fähigkeit, den Missbrauch von Microsoft-Diensten, insbesondere von OneDrive, durch SEABORGIUM zu erkennen und zu verfolgen, hat MSTIC einen nachhaltigen Einblick in die Aktivitäten des Akteurs ermöglicht und uns in die Lage versetzt, betroffene Kunden zu benachrichtigen.

Als Ergebnis dieser Untersuchungen zum Missbrauch von Diensten hat MSTIC mit den Missbrauchsteams von Microsoft zusammengearbeitet, um Konten zu deaktivieren, die von dem Akteur zur Aufklärung, zum Phishing und zum Sammeln von E-Mails verwendet wurden. Microsoft Defender SmartScreen hat auch Erkennungen gegen die Phishing-Domänen implementiert, die bei SEABORGIUMs Aktivitäten verwendet wurden.

Wer ist SEABORGIUM?

SEABORGIUM ist ein äußerst hartnäckiger Bedrohungsakteur, der häufig über lange Zeiträume hinweg dieselben Organisationen angreift. Sobald er erfolgreich ist, infiltriert er langsam die sozialen Netzwerke der Zielorganisationen durch ständiges Imitieren, Aufbauen von Beziehungen und Phishing, um sein Eindringen zu vertiefen. SEABORGIUM hat Organisationen und Personen, die für sie von Interesse sind, über mehrere Jahre hinweg in gleichbleibenden Kampagnen erfolgreich kompromittiert und dabei nur selten Methoden oder Taktiken geändert.

Basierend auf den bekannten Indikatoren für die Kompromittierung und die Taktik der Akteure überschneidet sich SEABORGIUM mit den als Callisto Group (F-Secure), TA446 (Proofpoint) und COLDRIVER (Google) identifizierten Bedrohungsgruppen. Der ukrainische Sicherheitsdienst (SSU) hat Callisto mit der Gamaredon Group (von Microsoft als ACTINIUM verfolgt) in Verbindung gebracht; MSTIC hat jedoch keine technischen Eindringungsverbindungen beobachtet, die diese Assoziation stützen.

Seit Anfang 2022 hat Microsoft SEABORGIUM-Kampagnen beobachtet, die auf mehr als 30 Organisationen abzielen, zusätzlich zu persönlichen Konten von Personen, die von Interesse sind. SEABORGIUM zielt in erster Linie auf NATO-Länder ab, insbesondere auf die USA und das Vereinigte Königreich, gelegentlich aber auch auf andere Länder im Baltikum, in den nordischen Ländern und in Osteuropa. In den Monaten vor dem Einmarsch Russlands wurde auch der Regierungssektor der Ukraine ins Visier genommen, ebenso wie Organisationen, die den Krieg in der Ukraine unterstützen. Trotz einiger gezielter Angriffe auf diese Organisationen geht Microsoft davon aus, dass die Ukraine wahrscheinlich kein primäres Ziel dieses Akteurs ist, sondern eher ein reaktives Zielgebiet und eines von vielen verschiedenen Zielen.

Innerhalb der Zielländer konzentriert SEABORGIUM seine Operationen in erster Linie auf Verteidigungs- und Nachrichtendienst-Beratungsunternehmen, Nichtregierungsorganisationen (NGOs) und zwischenstaatliche Organisationen (IGOs), Denkfabriken und Hochschulen. SEABORGIUM hat ein großes Interesse daran, auch Einzelpersonen ins Visier zu nehmen: 30 % der von Microsoft über SEABORGIUM-Aktivitäten erhaltenen Benachrichtigungen von Nationalstaaten werden an E-Mail-Konten von Microsoft-Kunden gesendet. SEABORGIUM hat es auf ehemalige Geheimdienstmitarbeiter, Experten für russische Angelegenheiten und russische Bürger im Ausland abgesehen. Wie bei allen beobachteten Aktivitäten staatlicher Akteure benachrichtigt Microsoft seine Kunden direkt über Microsoft-Dienste, die angegriffen oder kompromittiert wurden, und stellt ihnen die Informationen zur Verfügung, die sie benötigen, um ihre Konten zu schützen.

Impersonation und Kontaktaufnahme

Bevor eine Kampagne gestartet wird, führt SEABORGIUM häufig eine Erkundung der Zielpersonen durch, wobei der Schwerpunkt auf der Identifizierung legitimer Kontakte im entfernten sozialen Netzwerk oder Einflussbereich der Zielpersonen liegt. Ausgehend von einigen der beobachteten Nachahmungen und Zielpersonen vermuten wir, dass der Bedrohungsakteur Social-Media-Plattformen, persönliche Verzeichnisse und allgemeine Open-Source-Intelligence (OSINT) nutzt, um seine Aufklärungsbemühungen zu ergänzen. MSTIC hat in Zusammenarbeit mit LinkedIn beobachtet, dass betrügerische Profile, die SEABORGIUM zugeschrieben werden, sporadisch für die Erkundung von Mitarbeitern bestimmter interessanter Organisationen verwendet werden.