Las tácticas de los ciberdelincuentes cada vez son más sofisticadas. Los investigadores de Insikt Group de Recorded Future han descubierto que SEABORGIUM, también conocido como Callisto, COLDRIVER y TA446), falsificó la página de inicio de sesión de Microsoft de un proveedor de equipos militares de EE.UU. como cebo de phishing.
La página de inicio de sesión falsa imita la página de la empresa Global Ordnance. Los hackers informáticos utilizaron la infraestructura y los TTP para crear páginas de phishing y recopilar más credenciales.
Además, las tácticas de SEABORGIUM se superponen con los TTP de TAG-53 e incluyen el uso de:
- Nombres de dominio con una construcción de plantilla específica y certificados Let’s Encrypt TLS.
- Ciertos proveedores de alojamiento.
- Pequeño grupo de sistemas autónomos.
Insikt Group encontró 38 dominios registrados utilizados por el grupo desde enero, la mayoría de ellos registrados por NameCheap, Porkbun y Regway. La mayoría de los nombres de dominio imitaban servicios populares como cloud-safety.online, share-drive-ua.com y nonviolent-conflict-service.com.
Todos los dominios tenían certificados TLS X.509 de Let’s Encrypt, una CA sin fines de lucro que proporciona certificados a más de 300 millones de sitios web.
Los dominios están diseñados para sitios web falsos:
- Las empresas de defensa UMO Polonia, Global Ordnance y Sangrail LTD.
- Comisiones de justicia internacional y rendición de cuentas.
- Compañía satelital Blue Sky Network.
En 9 dominios había enlaces a organizaciones a las que el grupo podía apuntar. Además, 7 de ellos están dirigidos a ciertas industrias, que, según los expertos, serán de interés para otros grupos similares.
Los investigadores también agregaron que 2 dominios fraudulentos están diseñados para hacerse pasar por algunos Ministerios del Interior. El grupo Insikt señaló que el uso del grupo de una infraestructura diseñada a medida indica el uso a largo plazo de métodos similares para sus campañas estratégicas.
