Microsoft stoppt Phishing-Kampagne russischer Hacker gegen NATO-Ziele
Die Gruppierung Seaborgium stiehlt E-Mails von Organisationen und Personen, die für Russland von Interesse sein könnten. Microsoft hat nun eine Phishing-Operation der Bande gegen NATO-Ziele gestoppt.
Das Microsoft Threat Intelligence Center (MSTIC) hat eine Hacking- und Social-Engineering-Operation gegen Menschen und Organisationen in NATO-Ländern unterbrochen. Der Akteur dahinter war gemäss "Bleepingcomputer" Seaborgium, eine wahrscheinlich vom russischen Staat gesponserte Gruppierung.
Die Gruppierung ist bei Google als "ColdRiver" und bei Proofpoint als TA446 bekannt. Ihre Ziele sind hauptsächlich NATO-Länder, aber einzelne Kampagnen hätten auch in den baltischen Staaten, den nordischen Ländern und Osteuropa - inklusive der Ukraine - stattgefunden. Das Ziel ist vermutlich der Diebstahl sensibler E-Mails von Organisationen und Personen, die für Russland von Interesse sind.
Microsoft erklärte in seinem Bericht, dass es Seaborgium innerhalb der Zielländer primär auf Verteidigungs- und Geheimdienstberatungsunternehmen, Nichtregierungsorganisationen und zwischenstaatliche Organisationen sowie Think Tanks und Hochschulen abgesehen hat. Ehemalige Geheimdienstmitarbeitende, Expertinnen und Experten für russische Angelegenheiten und russische Staatsbürger im Ausland seien ebenfalls im Visier.
Das Vorgehen von Seaborgium
Für die Social-Engineering-Kampagnen erstellt Seaborgium online gefälschte Personen über E-Mail-, Social-Media- und Linkedin-Konten, wie "Bleepingcomputer" weiter schreibt. Mit diesen Personas nehme die Gruppierung Kontakt mit den Zielpersonen auf, baue eine Beziehung auf und versende schliesslich einen Phishing-Anhang. Das seien etwa PDFs, Links zu File-Hosting-Diensten oder zu Onedrive-Konten mit PDF-Dokumenten gewesen.
Versuche eine Zielperson den Anhang öffnen, erscheine eine Meldung, die besage, dass das Dokument nicht angezeigt werden könne und dass man es erneut versuchen solle. Bei einem weiteren Klick auf die Schaltfläche landeten die Opfer gemäss "Bleepingcomputer" auf einer Landing Page, auf der Phishing-Frameworks wie "EvilGinx" ausgeführt werden und ein Anmeldeformular für den jeweiligen Dienst angezeigt wird. Da das Framework als Proxy fungiere, können Bedrohungsakteure die dort eingegebenen Anmeldedaten und Authentifizierungs-Cookies/Tokens, die nach der Anmeldung generiert werden, stehlen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Thoma Bravo kauft Darktrace für 5,3 Milliarden US-Dollar
Gefahr durch GenAI-Inhalte steigt
Wenn die Tribute von Panem ein Disney-Film wären
Datenschutzorganisation reicht Beschwerde gegen OpenAI ein
Telko-Branche ist das beliebteste DDoS-Ziel der Schweiz
Die sieben Todsünden für den Weg in die Cyberkrise
Die wohl unangenehmste Liftfahrt in einer weit, weit entfernten Galaxis
Update: Google verschiebt Privacy-Sandbox auf 2025
Update: Ständeratskommission will Verfassungsänderung für polizeilichen Datenaustausch
