Microsoft Tehdit İstihbarat Merkezi (MSTIC), NATO ülkelerindeki insanları ve kuruluşları hedef alan bir bilgisayar korsanlığı kampanyasının arkasındaki Rusya bağlantılı bir tehdit aktörü olan SEABORGIUM’un (diğer adıyla ColdRiver, TA446) faaliyetlerini kesintiye uğrattı.
SEABORGIUM’un 2017’den beri aktif olduğu bilinmekte. Kampanyaları; izinsiz girişlere ve veri hırsızlığına yol açan, kimlik avı ve kimlik bilgisi hırsızlığını içermekte. APT (Bir ağa yetkisiz giriş yapmak ve algılanmamak) öncelikle NATO ülkelerini hedef almakta ancak uzmanlar, Ukrayna dahil olmak üzere Baltık, İskandinav ve Doğu Avrupa bölgelerini hedef alan kampanyaları da gözlemlemekte.
SEABORGIUM grubu, operasyonlarını öncelikle savunma ve istihbarat danışmanlığı şirketleri, sivil toplum kuruluşları ve hükümetler arası kuruluşlar, düşünce kuruluşları ve yüksek öğrenime odaklamakta. Grup ayrıca eski istihbarat yetkililerini, Rus işlerindeki uzmanları ve yurt dışındaki Rus vatandaşlarını da hedef almakta. SEABORGIUM’un kampanyaları, hedef bireylerin sosyal ağlardaki veya etki alanındaki bağlantılarını belirlemeye odaklanan bir keşif faaliyeti ile başlamış. Tehdit aktörlerinin, hedef kişilerle iletişim kurmak ve bir ilişki kurmak için onlara mailler gönderdiği, mailde gönderilen bir eki açmaları ve onları kandırmak için sahte kimlikler kullandıkları tespit edilmiş. İletilerin PDF bulunan bir mail, dosya bağlantıları veya OneDrive hesapları aracılığıyla dağıtıldığı işaret ediliyor.
Hedef kişi veya gruplar PDF dosyasını açtıktan sonra, belgenin görüntülenemediğini ve tekrar denemek için bir düğmeye tıklamaları gerektiğini belirten bir mesaj almakta. Düğmeye tıklandığında, EvilGinx gibi kimlik avı çerçevelerini çalıştıran, meşru bir sağlayıcı için oturum açma sayfasını görüntüleyen ve tüm kimlik bilgilerini engelleyen bir açılış sayfasına yönlendirilmekte. Bilgiler ele geçirildikten sonra, şüphe uyandırmamak için kurban bir web sitesine veya belgeye yönlendiriliyor. Saldırganlar, hedeflenen e-posta hesabına erişim elde ettikten sonra istihbarat verilerini (e-postalar ve ekler) sızdırıyor veya gelen tüm postaları istenilen mail adresine yönlendiriyor. Bazı durumlarda ise SEABORGIUM’un belirli ilgili kişilerle diyalogu kolaylaştırmak için kimliğe bürünme hesaplarını kullandığı gözlemlenmiş. Bunun üzerine Microsoft, gözetleme, kimlik avı ve e-posta toplama için kullanılan hesapları devre dışı bırakarak SEABORGIUM’un operasyonlarını aksatmak için harekete geçti. Ayrıca Microsoft 365’de çeşitli gereksinimleri sağlamadıkça otomatik iletileri devre dışı bıraktı.
Aylin Aşkın
