微軟威脅情報中心（MSTIC）剛剛就“SEABORGIUM”網絡釣魚活動發出了警告。儘管其自2017 年就已存在，但該公司還是觀察到了相當多的案例，因而決定提供全面指導、以免潛在的受害者中招。據悉，SEABORGIUM 的危險之處，在於攻擊者利用了別樣的攻擊方式。

圖1 – 冒充並建立聯繫

起初SEABORGIUM 會使用欺詐性的社交媒體資料，對潛在受害者展開或淺或深的觀察，甚至創建了幾個電子郵件地址來冒充其它有真實身份的聯繫人ID 。

圖2 – 常用多電子郵件建立融洽關係

在騙取受害者信任後，SEABORGIUM 攻擊者會直接在Email 中嵌入惡意鏈接或附件，且通常會偽裝成微軟OneDrive 等託管服務。

圖3 – 釣魚郵件示例

在不附帶惡意附件的情況下，SEABORGIUM 攻擊者會附上精心設計的惡意URL，以將受害者誘騙到網絡釣魚門戶。

圖- 4：仿冒OneDrive 官方文檔分享郵件

慶幸的是，微軟官方已經意識到了自家服務被濫用，且SEABORGIUM 攻擊者會利用EvilGinx 網絡釣魚工具包來竊取受害者的憑據。

圖5 – 以俄烏衝突話題為幌子的惡意PDF 郵件附件

在全面深入分析的過程中，微軟著重觀察了SEABORGIUM 釣魚活動涉及的數據和信息洩露操作。

圖6 – 假裝PDF 文檔預覽失敗，引誘受害者點擊並重定向至惡意鏈接。

微軟指出，在少數情況下，SEABORGIUM 攻擊者可長期訪問並收集受害者的郵件賬戶數據。

圖7 – 利用Google Drive 網盤，將鏈接重定向至受攻擊者控制的基礎設施。

在不止一次的情況下，微軟觀察到攻擊者能夠訪問敏感群體的郵件列表數據—— 例如與前情報官員聯繫密切的賬戶—— 並在此基礎上謀劃後續定位與滲透。

圖8 – 直接克隆並假冒受害組織的釣魚網站

有關SEABORGIUM 網絡釣魚活動的更多細節和防護建議，還請移步至Microsoft Security 官網查看（傳送門）。