Microsoft détourne 50 noms de domaine du groupe de hackers Thallium

Microsoft a posté à propos de sa dernière victoire contre des groupes de hackers parrainés par l'État après que le tribunal de district américain du district oriental de Virginie a accepté d'autoriser Microsoft à confisquer 50 noms de domaine au groupe de hackers coréen parrainé par l'État Thallium.

Ce réseau était utilisé pour cibler les victimes, puis compromettre leurs comptes en ligne, infecter leurs ordinateurs, compromettre la sécurité de leurs réseaux et voler des informations sensibles. Sur la base des informations sur les victimes, les cibles comprenaient des employés du gouvernement, des groupes de réflexion, des membres du personnel universitaire, des membres d'organisations axées sur la paix mondiale et les droits de l'homme et des personnes travaillant sur les questions de prolifération nucléaire. La plupart des cibles étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud.

Thallium tente généralement de tromper les victimes grâce à une technique connue sous le nom de spear phishing. En recueillant des informations sur les personnes ciblées à partir des médias sociaux, des répertoires publics du personnel des organisations avec lesquelles la personne est impliquée et d'autres sources publiques, Thallium est en mesure de créer un e-mail de harponnage personnalisé d'une manière qui donne de la crédibilité à la cible. Le contenu est conçu pour paraître légitime, mais un examen plus approfondi montre que Thallium a usurpé l'expéditeur en combinant les lettres "r" et "n" pour apparaître comme la première lettre "m" dans "microsoft.com".

Le lien dans l'e-mail redirige l'utilisateur vers un site Web demandant les informations d'identification du compte de l'utilisateur. En incitant les victimes à cliquer sur les liens frauduleux et en fournissant leurs informations d'identification, Thallium est alors en mesure de se connecter au compte de la victime. En cas de compromission réussie d'un compte victime, Thallium peut consulter les e-mails, les listes de contacts, les rendez-vous du calendrier et tout autre élément d'intérêt dans le compte compromis. Thallium crée également souvent une nouvelle règle de transfert de courrier dans les paramètres du compte de la victime. Cette règle de transfert de courrier transférera tous les nouveaux e-mails reçus par la victime vers les comptes contrôlés par Thallium. En utilisant des règles de transfert, Thallium peut continuer à voir les e-mails reçus par la victime, même après la mise à jour du mot de passe du compte de la victime.

En plus de cibler les informations d'identification des utilisateurs, Thallium utilise également des logiciels malveillants pour compromettre les systèmes et voler des données. Une fois installé sur l'ordinateur d'une victime, ce malware en exfiltre des informations, maintient une présence persistante et attend de nouvelles instructions. Les acteurs de la menace Thallium ont utilisé des logiciels malveillants connus nommés "BabyShark" et "KimJongRAT".

Il s'agit du quatrième groupe d'activités d'États-nations contre lequel Microsoft a intenté des actions en justice similaires pour supprimer une infrastructure de domaine malveillante. Les perturbations précédentes ont ciblé Baryum, opérant depuis la Chine, Strontium, opérant depuis la Russie, et Phosphore, opérant depuis l'Iran.

Pour se protéger contre ce type de menaces, Microsoft suggère aux utilisateurs d'activer l'authentification à deux facteurs sur tous les comptes de messagerie professionnels et personnels. Deuxièmement, les utilisateurs doivent apprendre comment repérer les stratagèmes de phishing et s'en protéger. Dernièrement, activer les alertes de sécurité sur les liens et les fichiers provenant de sites Web suspects et soigneusement vérifier votre transfert d'e-mails règles pour toute activité suspecte.