微软威胁情报中心（MSTIC）刚刚就“SEABORGIUM”网络钓鱼活动发出了警告。尽管其自 2017 年就已存在，但该公司还是观察到了相当多的案例，因而决定提供全面指导、以免潜在的受害者中招。据悉，SEABORGIUM 的危险之处，在于攻击者利用了别样的攻击方式。

图 1 - 冒充并建立联系

起初 SEABORGIUM 会使用欺诈性的社交媒体资料，对潜在受害者展开或浅或深的观察，甚至创建了几个电子邮件地址来冒充其它有真实身份的联系人 ID 。

图 2 - 常用多电子邮件建立融洽关系

在骗取受害者信任后，SEABORGIUM 攻击者会直接在 Email 中嵌入恶意链接或附件，且通常会伪装成微软 OneDrive 等托管服务。

图 3 - 钓鱼邮件示例

在不附带恶意附件的情况下，SEABORGIUM 攻击者会附上精心设计的恶意 URL，以将受害者诱骗到网络钓鱼门户。

图 - 4：仿冒 OneDrive 官方文档分享邮件

庆幸的是，微软官方已经意识到了自家服务被滥用，且 SEABORGIUM 攻击者会利用 EvilGinx 网络钓鱼工具包来窃取受害者的凭据。

图 5 - 以俄乌冲突话题为幌子的恶意 PDF 邮件附件

在全面深入分析的过程中，微软着重观察了 SEABORGIUM 钓鱼活动涉及的数据和信息泄露操作。

图 6 - 假装 PDF 文档预览失败，引诱受害者点击并重定向至恶意链接。

微软指出，在少数情况下，SEABORGIUM 攻击者可长期访问并收集受害者的邮件账户数据。

图 7 - 利用 Google Drive 网盘，将链接重定向至受攻击者控制的基础设施。

在不止一次的情况下，微软观察到攻击者能够访问敏感群体的邮件列表数据 —— 例如与前情报官员联系密切的账户 —— 并在此基础上谋划后续定位与渗透。

图 8 - 直接克隆并假冒受害组织的钓鱼网站

有关 SEABORGIUM 网络钓鱼活动的更多细节和防护建议，还请移步至 Microsoft Security 官网查看（传送门）。