Microsoftは8月15日(米国時間)、「Disrupting SEABORGIUM’s ongoing phishing operations - Microsoft Security Blog」において、「SEABORGIUM」と呼ばれるサイバー攻撃者が始めたキャンペーンを妨害するため、調査および対応を行ったと伝えた。
「SEABORGIUM」の追跡は2017年より行われており、同アクターの活動および技術的手法、脅威についての状況説明などユーザーの認識を高めることを目的とした情報が公開された。
-
Disrupting SEABORGIUM’s ongoing phishing operations - Microsoft Security Blog
SEABORGIUMはロシアを拠点としている脅威アクターで、ロシアの国家利益と密接に関わっているとされている。侵入とデータ盗難につながる持続的なフィッシングとクレデンシャルの窃取に関するキャンペーンを展開しており、窃取された情報は金銭的動機ではなく、スパイ目的および情報操作に役立てられている可能性が高いと見られている。
SEABORGIUMのキャンペーンは主にNATO諸国、特に米国と英国を標的としていることが判明している。また、標的国の中で、主に防衛および情報コンサルティング会社、非政府組織、政府間組織、シンクタンク、高等教育機関などを重点的に狙っていることも確認されている。
同キャンペーンではまず、ターゲットのソーシャルネットワークや連絡先をLinkedInアカウントを使用して調べることからスタートする。そして標的と接触し、関心のあるトピックを混ぜながら親密な関係を築き、最終的にフィッシングメールを送りつけるとのことだ。またOneDriveを悪用し、悪意のあるURLへのリンクを含むPDFファイルをホストしていることも明らかとなった。
Microsoftは、LinkedInが不正な行動や詐欺的な行動を行っていることが確認されたアカウントの停止を行ったと報告。また、サイバー犯罪者が偵察、フィッシング、メール収集に使用していたMicrosoftアカウントを無効化したとも伝えている。
