Microsoft unese 50 doménových jmen ze skupiny hackerů Thallium

Microsoft zveřejnil o svém posledním vítězství proti státem podporovaným hackerským skupinám poté, co americký okresní soud pro východní obvod Virginie souhlasil s povolením Microsoftu zabavit 50 doménových jmen státem podporované korejské hackerské skupině Thallium.

Tato síť byla použita k cílení na oběti a následné kompromitaci jejich online účtů, infikování jejich počítačů, ohrožení bezpečnosti jejich sítí a odcizení citlivých informací. Na základě informací o obětech mezi cíle patřili vládní zaměstnanci, think-tanky, zaměstnanci univerzit, členové organizací zaměřených na světový mír a lidská práva a jednotlivci, kteří se zabývají problematikou šíření jaderných zbraní. Většina cílů byla umístěna v USA, stejně jako v Japonsku a Jižní Koreji.

Thallium se obvykle pokouší oklamat oběti pomocí techniky známé jako spear phishing. Díky shromažďování informací o cílených jednotlivcích ze sociálních médií, adresářů veřejných zaměstnanců organizací, se kterými je jednotlivec zapojen, a dalších veřejných zdrojů je Thallium schopno vytvořit personalizovaný e-mail spear-phishing způsobem, který cíli poskytne důvěryhodnost e-mailu. Obsah je navržen tak, aby vypadal legitimně, ale bližší kontrola ukazuje, že Thallium podvrhlo odesílatele tím, že zkombinovalo písmena „r“ a „n“, aby se objevilo jako první písmeno „m“ na „microsoft.com“.

Odkaz v e-mailu přesměruje uživatele na webovou stránku požadující přihlašovací údaje k účtu uživatele. Oklamáním obětí, aby klikly na podvodné odkazy a poskytly své přihlašovací údaje, se pak Thallium dokáže přihlásit k účtu oběti. Po úspěšném kompromitaci účtu oběti může Thallium zkontrolovat e-maily, seznamy kontaktů, schůzky v kalendáři a cokoli jiného, ​​co vás na napadeném účtu zajímá. Thallium často také vytvoří nové pravidlo pro přesměrování pošty v nastavení účtu oběti. Toto pravidlo přeposílání pošty přepošle všechny nové e-maily obdržené obětí na účty kontrolované Thaliem. Pomocí pravidel přeposílání může Thallium nadále vidět e-maily obdržené obětí, a to i po aktualizaci hesla k účtu oběti.

Kromě cílení na přihlašovací údaje uživatelů Thallium také využívá malware ke kompromitaci systémů a krádeži dat. Po instalaci do počítače oběti z něj tento malware exfiltruje informace, udržuje stálou přítomnost a čeká na další pokyny. Aktéři hrozby Thallium využili známý malware s názvem „BabyShark“ a „KimJongRAT“.

Toto je čtvrtá skupina aktivit národního státu, proti které Microsoft podal podobné právní kroky s cílem odstranit infrastrukturu škodlivých domén. Předchozí výpadky se zaměřily na Barium operující z Číny, Stroncium, působící z Ruska, a Fosfor, působící z Íránu.

Pro ochranu před tímto druhem hrozeb společnost Microsoft uživatelům navrhuje, aby povolili dvoufaktorové ověřování na všech pracovních a osobních e-mailových účtech. Za druhé, uživatelé se musí učit jak odhalit phishingová schémata a chránit se před nimi. konečně povolit bezpečnostní upozornění o odkazech a souborech z podezřelých webů a pečlivě zkontrolujte přeposílání e-mailů pravidla pro jakoukoli podezřelou činnost.