北約
微軟本周宣布,已採取必要行動破壞了俄羅斯駭客集團Seaborgium的網路釣魚行動,Seaborgium持續鎖定特定的組織及個人發動網釣攻擊,特別是北約國家,以竊取這些個人或組織員工的憑證,進而長期竊取與蒐集資料,並利用這些資料來發動資訊戰,於是微軟關閉了Seaborgium駭客所利用的微軟服務,包括LinkedIn帳號、電子郵件帳號與OneDrive帳號等。
微軟自2017年以來便開始追蹤Seaborgium,相信它是由俄羅斯政府支持的駭客集團,主要任務是竊取情報以散布不實資訊,而非基於財務動機。
這幾年來Seaborgium都針對同樣的一批組織發動攻擊,企圖建立長駐能力,除了個人之外,Seaborgium主要的攻擊目標為北約國家的組織,特別是美國與美國,偶爾也有波羅的海、北歐或中歐國家的組織受害,烏克蘭或支持烏克蘭的組織亦為受害者,目標對象可能是國防暨情報顧問公司、非政府組織、政府間組織、智庫或高等教育機構等,也有俄羅斯的前情報官員、俄羅斯事務的專家或旅居海外的俄羅斯人遭到鎖定。
Seaborgium的計畫很縝密,駭客會先研究目標對象的檔案,繼之於社交網站上建立一個與之相關的假帳號,也會有一個與之搭配的電子郵件帳號,第一步會先透過電子郵件帳號與受害者聯繫,以對方有興趣的主題來吸引受害者,在收到受害者回應之後,才會再寄送惡意電子郵件。
這些電子郵件可能含有惡意的PDF檔,或是直接於電子郵件中嵌入惡意連結,或是邀請受害者開啟存放於OneDrive上的PDF檔,但不論是哪一個,最終目的都是將使用者導至網釣頁面,誘導受害者輸入憑證,進而接管受害者的電子郵件帳號。
圖片來源/微軟
由於Seaborgium的目的是蒐集情報,因此駭客會竊取受害者信箱中的所有資料,或是直接於郵件服務中設定轉寄功能,將所有郵件轉寄至駭客信箱,也會用來存取受害者的其他聯絡人。
Seaborgium還會以所蒐集的情報來撰寫假新聞,例如曾經駭進支持英國脫歐的多名高級官員的Protonmail帳號,並利用自這些帳號中竊取的文件來編故事,宣稱這些脫歐支持者準備發動政變。微軟呼籲不管是媒體或讀者都應謹慎對待各種資訊,以免在不經意間成為散布不實資訊的幫兇。
微軟除了公布Seaborgium網釣活動的入侵指標之外,也建議Office 365用戶檢查電子郵件的過濾設定,關閉自動轉寄功能,審核所有自遠端存取的活動,要求多因素認證,以及採用硬體金鑰等。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-22