Хакеры выдали себя за американского поставщика оружия

Исследователи Insikt Group из Recorded Future обнаружили , что группировка SEABORGIUM (так же известная как Callisto, COLDRIVER и TA446) подделала страницу входа Microsoft американского поставщика военного оборудования в качестве фишинговой приманки. Поддельная страница входа имитирует страницу компании Global Ordnance.

Хакеры использовали инфраструктуру и TTPs для создания фишинговых страниц и дальнейшего сбора учетных данных. Более того, тактика SEABORGIUM пересекается с TTPs группировки TAG-53 и включает использование:

• доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
• определенных хостинг-провайдеров;
• небольшого кластера автономных систем.

Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.

Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.

Домены предназначены для того, чтобы подделать сайты:

• оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
• комиссии по международному правосудию и подотчетности;
• спутниковой компании Blue Sky Network.

На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.

Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».