Microsoft Tehdit İstihbarat Merkezi (MSTIC), NATO ülkelerini hedef alan kalıcı kimlik avı, kimlik bilgileri ve veri hırsızlığı, izinsiz girişler ve casuslukla bağlantılı hack-ve-sızdırma kampanyaları başlatan Rusya merkezli bir aktör olan SEABORGIUM tarafından başlatılan kampanyaları fark etti ve kesintiye uğratmak için önlemler aldı.
SEABORGIUM’un Faaliyetlerine İlişkin Görüşler
SEABORGIUM, uzun süreler boyunca sürekli olarak aynı kuruluşları hedef alan, son derece kalıcı bir tehdit aktörü olarak 2017’den beri aktiftir. Saldırı başarılı olduğunda, sürekli kimliğe bürünme, ilişki kurma ve izinsiz girişlerini derinleştirmek için kimlik avı yoluyla hedeflenen kuruluşların sosyal ağlarına yavaş yavaş sızar.
Callisto Group (F-Secure), TA446 (Proofpoint) ve COLDRIVER (Google) olarak izlenen tehdit gruplarıyla ilgilidir. Öncelikli olarak NATO ülkelerini hedef alıyor, ancak uzmanlar ayrıca Ukrayna da dahil olmak üzere Baltık, İskandinav ve Doğu Avrupa bölgelerini hedef alan kampanyaları da gözlemledi.
Araştırmacılar, SEABORGIUM’un ağırlıklı olarak savunma ve istihbarat danışmanlığı şirketleri, sivil toplum kuruluşları (STK’lar) ve hükümetler arası kuruluşlar (IGO’lar), düşünce kuruluşları ve yüksek öğrenim üzerine odaklandığını söylüyor. Eski istihbarat görevlilerini, Rus işlerinde uzman kişileri ve yurtdışındaki Rus vatandaşlarını hedef aldığı da gözlemlendi.
Microsoft, SEABORGIUM’un sık sık, hedeflerin uzak sosyal ağındaki veya etki alanındaki meşru kişileri belirlemeye odaklanarak hedef bireyler hakkında bir soruşturma yürüttüğünü söylüyor.
Araştırmaya göre, tehdit aktörü keşif çabalarını desteklemek için sosyal medya platformlarını, kişisel dizinleri ve genel açık kaynaklı istihbaratı (OSINT) kullanıyor.
“MSTIC, LinkedIn ile ortaklaşa olarak, SEABORGIUM’a atfedilen dolandırıcılık profillerinin, belirli ilgili kuruluşlardan, Microsoft’tan çalışanların keşiflerini yürütmek için ara sıra kullanıldığını gözlemledi.
Tehdit aktörleri, hedef kişilerle iletişim kurmak ve bir ilişki kurmak için onlarla bir sohbet başlatmak ve onları kimlik avı mesajları yoluyla gönderilen bir eki açmaya tuzağa düşürmek için sahte kimlikler kullandı.
Kimlik avı iletileri, PDF eklerini kullandı ve bazı durumlarda dosya veya belge barındırma hizmetlerine veya PDF belgelerini barındıran OneDrive hesaplarına bağlantılar eklediler.
Aktör, bir organizasyonun liderini taklit eder ve organizasyonun seçilmiş üyelerine siber güvenlik temalı bir cazibe ile e-posta gönderir.
URL’ye tıklandığında, hedef, çoğunlukla EvilGinx olmak üzere bir kimlik avı çerçevesi barındıran, aktör kontrollü bir sunucuya yönlendirilir. Çerçeve, meşru bir sağlayıcı için oturum açma sayfasını yansıtarak ve kimlik bilgilerini ele geçirerek hedeften kimlik doğrulama ister.
Kimlik bilgilerini aldıktan sonra, etkileşimi tamamlamak için hedef bir web sitesine veya belgeye yönlendirilir.
SEABORGIUM’un çalıntı kimlik bilgilerini kullandığı ve doğrudan kurban e-posta hesaplarında oturum açtığı gözlemlendi. Microsoft, kalıcı veri toplamayı sağlamak için kurban gelen kutularından yönlendirme kuralları bile kuracağını söyledi.
Öneriler
- Sahte e-postaları, istenmeyen postaları ve kötü amaçlı yazılım içeren e-postaları engellediğinizden emin olmak için Office 365 e-posta filtreleme ayarlarınızı kontrol edin.
- Otomatik e-posta iletmeyi devre dışı bırakmak için Office 365’i yapılandırın.
- Özgünlüğü onaylamak ve herhangi bir anormal etkinliği araştırmak için, tek faktörlü kimlik doğrulama ile yapılandırılmış hesaplara özellikle odaklanarak, uzaktan erişim altyapısı için tüm kimlik doğrulama etkinliğini gözden geçirin.
- Tüm konumlardan gelen tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) gerekir.
FIDO Jetonları veya numara eşleştirmeli Microsoft Authenticator gibi daha güvenli uygulamalardan yararlanın. SIM-jacking ile ilişkili riskleri önlemek için telefon tabanlı MFA yöntemlerinden kaçının.
Sponsorlu: Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin