Microsoft entführt 50 Domänennamen der Thallium-Hackergruppe

Microsoft hat gepostet über seinen jüngsten Sieg gegen staatlich geförderte Hackergruppen, nachdem das US-Bezirksgericht für den östlichen Bezirk von Virginia zugestimmt hatte, Microsoft zu gestatten, 50 Domänennamen der staatlich geförderten koreanischen Hackergruppe Thallium zu beschlagnahmen.

Dieses Netzwerk wurde verwendet, um Opfer anzugreifen und dann ihre Online-Konten zu kompromittieren, ihre Computer zu infizieren, die Sicherheit ihrer Netzwerke zu gefährden und vertrauliche Informationen zu stehlen. Opferinformationen zufolge umfassten die Ziele Regierungsangestellte, Denkfabriken, Universitätsmitarbeiter, Mitglieder von Organisationen, die sich mit Weltfrieden und Menschenrechten befassen, und Personen, die sich mit Fragen der nuklearen Proliferation befassen. Die meisten Ziele befanden sich in den USA sowie in Japan und Südkorea.

Thallium versucht normalerweise, Opfer durch eine Technik auszutricksen, die als Spear-Phishing bekannt ist. Durch das Sammeln von Informationen über die Zielpersonen aus sozialen Medien, öffentlichen Personalverzeichnissen von Organisationen, an denen die Person beteiligt ist, und anderen öffentlichen Quellen ist Thallium in der Lage, eine personalisierte Spear-Phishing-E-Mail so zu erstellen, dass die E-Mail dem Ziel Glaubwürdigkeit verleiht. Der Inhalt soll legitim erscheinen, aber eine genauere Überprüfung zeigt, dass Thallium den Absender gefälscht hat, indem es die Buchstaben „r“ und „n“ kombiniert hat, um als erster Buchstabe „m“ in „microsoft.com“ zu erscheinen.

Der Link in der E-Mail leitet den Benutzer zu einer Website weiter, auf der die Anmeldeinformationen des Benutzerkontos angefordert werden. Indem die Opfer dazu verleitet werden, auf die betrügerischen Links zu klicken und ihre Zugangsdaten anzugeben, kann sich Thallium dann in das Konto des Opfers einloggen. Nach erfolgreicher Kompromittierung eines Opferkontos kann Thallium E-Mails, Kontaktlisten, Kalendertermine und alles andere Interessante im kompromittierten Konto überprüfen. Thallium erstellt häufig auch eine neue E-Mail-Weiterleitungsregel in den Kontoeinstellungen des Opfers. Diese E-Mail-Weiterleitungsregel leitet alle neuen E-Mails, die das Opfer erhält, an von Thallium kontrollierte Konten weiter. Durch die Verwendung von Weiterleitungsregeln kann Thallium weiterhin vom Opfer empfangene E-Mails sehen, selbst nachdem das Kontopasswort des Opfers aktualisiert wurde.

Thallium zielt nicht nur auf Benutzeranmeldeinformationen ab, sondern nutzt auch Malware, um Systeme zu kompromittieren und Daten zu stehlen. Sobald diese Malware auf dem Computer eines Opfers installiert ist, extrahiert sie Informationen daraus, behält eine dauerhafte Präsenz bei und wartet auf weitere Anweisungen. Die Thallium-Bedrohungsakteure haben bekannte Malware namens „BabyShark“ und „KimJongRAT“ verwendet.

Dies ist die vierte nationalstaatliche Aktivitätsgruppe, gegen die Microsoft ähnliche rechtliche Schritte eingeleitet hat, um bösartige Domäneninfrastrukturen auszuschalten. Frühere Störungen zielten auf Barium ab, das von China aus operiert, Strontium, die von Russland aus operieren, und Phosphor, die vom Iran aus operieren.

Zum Schutz vor dieser Art von Bedrohungen empfiehlt Microsoft Benutzern, die Zwei-Faktor-Authentifizierung für alle geschäftlichen und privaten E-Mail-Konten zu aktivieren. Zweitens müssen die Benutzer lernen wie man Phishing-Schemata erkennt und sich vor ihnen schützen. Zuletzt, Sicherheitswarnungen aktivieren über Links und Dateien von verdächtigen Websites und sorgfältig Überprüfen Sie Ihre E-Mail-Weiterleitung Regeln für verdächtige Aktivitäten.