Microsofts Digital Crimes Unit (DCU) hat letzte Woche bekannt gegeben, dass sie im Zusammenhang mit einer Spearphishing-Operation rechtliche Schritte gegen einen iranischen Bedrohungsakteur mit dem Namen Bohrium eingeleitet hat.
Das gegnerische Kollektiv soll es auf Unternehmen in den Bereichen Technik, Transport, Regierung und Bildung in den USA, im Nahen Osten und in Indien abgesehen haben.
„Bohrium-Akteure erstellen gefälschte Social-Media-Profile und geben sich oft als Personalvermittler aus“, erklärte Amy Hogan-Burney von der DCU in einem Tweet. „Sobald die persönlichen Daten der Opfer bekannt waren, schickte Bohrium bösartige E-Mails mit Links, die die Computer der Opfer mit Malware infizierten.
Laut einer von dem Tech-Giganten geteilten Verfügung war das Ziel der Eindringlinge, sensible Informationen zu stehlen und auszuspionieren, die Kontrolle über die infizierten Computer zu übernehmen und Fernaufklärung zu betreiben.
Um den bösartigen Aktivitäten von Bohrium Einhalt zu gebieten, hat Microsoft nach eigenen Angaben 41 „.com“-, „.info“-, „.live“-, „.me“-, „.net“-, „.org“- und „.xyz“-Domains abgeschaltet, die als Befehls- und Kontrollinfrastruktur für die Spearphishing-Kampagne genutzt wurden.
Die Enthüllung erfolgt, nachdem Microsoft bekannt gegeben hat, dass es seit Februar 2022 bösartige OneDrive-Aktivitäten eines bisher nicht dokumentierten Bedrohungsakteurs mit dem Codenamen Polonium identifiziert und deaktiviert hat.
Die Vorfälle, bei denen OneDrive als Kommandozentrale genutzt wurde, waren Teil einer größeren Angriffswelle, die die Hackergruppe gegen über 20 Organisationen in Israel und im Libanon startete.