Microsoft waarschuwt voor de uit Rusland afkomstige phishinggroep Seaborgium, ook bekend als Cold River. De groep richt zich op overheden en andere organisaties, en probeert met gestolen data 'het narratief te bepalen' in landen.
Seaborgium heeft in de afgelopen jaren diverse organisaties en betrokkenen geïnfiltreerd, schrijft Microsoft. Sinds 2022 zou de organisatie zich hebben gericht op ruim 30 organisaties en onder meer op de persoonlijke accounts van betrokkenen. De groep is vooral gericht op NAVO-landen, specifiek het Verenigd Koninkrijk en de Verenigde Staten. Ook Oekraïne is in de maanden voorafgaand aan de Russische invasie doelwit geweest van Seaborgium, zegt Microsoft. De groep focust zich vooral op defensie- en inlichtingenconsultancybedrijven, ngo's, igo's, denktanks en het hoger onderwijs.
Het Amerikaanse bedrijf spreekt bij Seaborgium niet daadwerkelijk over staatshackers, maar zegt dat de groep uit Rusland komt en 'doelstellingen en slachtoffers heeft die aansluiten bij de Russische belangen'. Microsofts Threat Intelligence Center, Mstic, zegt dat informatie die door Seaborgium is verzameld, 'waarschijnlijk spionagewerk ondersteunt en dat de groep vermoedelijk geen financieel motief heeft'.
Microsoft volgt Seaborgium sinds 2017 en zegt dat de tactieken van de groep in die tijd nauwelijks zijn gewijzigd. Seaborgium volgt een doelwit voor lange tijd en infiltreert het traag. Daarbij probeert de groep zich bijvoorbeeld voor te doen als werknemers van bedrijven om met phishingmails toegang te krijgen tot de systemen van een bedrijf of organisatie. In sommige gevallen start Seaborgium een mailgesprek met een slachtoffer om langzaam vertrouwen te wekken; in andere gevallen begint de groep meteen met de phishing.
Voor de phishing hanteert Seaborgium verschillende methoden. De groep gebruikt bijvoorbeeld URL's om naar malafide sites te linken, of pdf's en OneDrive-bestanden met foutmeldingen. Bij die foutmeldingen moet de gebruiker op een knop drukken om het nogmaals te proberen, waarna hij naar een andere site wordt verwezen. Op deze site, die in beheer is van de groep, moeten gebruikers hun inloggegevens invullen, waarna Seaborgium deze zelf kan gebruiken.
Nadat Seaborgium de inloggegevens heeft bemachtigd, verzamelt de groep data en probeert ze forwards in te stellen waardoor ze nieuwe mails automatisch krijgt. Daarnaast probeert Seaborgium meer informatie te verkrijgen over andere personen binnen de organisatie. In bepaalde gevallen heeft de groep verzamelde informatie openbaar gemaakt. Zo werd in mei bekend dat Seaborgium vanaf 2018 e-mails en documenten van Brexit-voorstanders liet uitlekken. Met die data creëerde Seaborgium het verhaal dat de Brexit-voorstanders een coup aan het voorbereiden waren.
Microsoft waarschuwt mensen voorzichtig te zijn met dergelijke uitgelekte informatie, omdat niet bekend is of de documenten zijn gemanipuleerd om zo een verhaal te versterken of te creëren. Microsoft deelt de uitgelekte content daarom niet. Het bedrijf deelt wel een lijst met domeinnamen die de groep bij haar phishingpogingen gebruikt.
Een voorbeeld van hoe Seaborgium een doelwit probeert te phishen