Тактика киберпреступников указала на следующие цели группировок.
Исследователи Insikt Group из Recorded Future обнаружили , что группировка SEABORGIUM (так же известная как Callisto, COLDRIVER и TA446) подделала страницу входа Microsoft американского поставщика военного оборудования в качестве фишинговой приманки. Поддельная страница входа имитирует страницу компании Global Ordnance.
Хакеры использовали инфраструктуру и TTPs для создания фишинговых страниц и дальнейшего сбора учетных данных. Более того, тактика SEABORGIUM пересекается с TTPs группировки TAG-53 и включает использование:
- доменных имен с определенной конструкцией шаблона и TLS-сертификатами Let’s Encrypt;
- определенных хостинг-провайдеров;
- небольшого кластера автономных систем.
Insikt Group обнаружила 38 зарегистрированных доменов, используемых группой с января, причем большинство из них зарегистрированы NameCheap, Porkbun, REG.RU и regway.
Имена большинства доменов имитировали популярные сервисы, такие как «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com». Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.
Домены предназначены для того, чтобы подделать сайты:
- оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
- комиссии по международному правосудию и подотчетности;
- спутниковой компании Blue Sky Network.
На 9-ти доменах были ссылки на организации, на которые может быть нацелена группа. Причем 7 из них направлены на определенные отрасли, которые, по словам экспертов, будут интересны другим группировкам из России. Исследователи также добавили, что 2 мошеннических домена предназначены для маскировки под МВД России.
Группа Insikt отметила, что использование группой специально разработанной инфраструктуры указывает на «долгосрочное использование аналогичных методов для своих стратегических кампаний».
