A Microsoft 50 domain nevet eltérített a Tallium hackercsoporttól

microsoft közzétette az államilag támogatott hackercsoportok elleni legutóbbi győzelméről, miután az Egyesült Államok Virginia keleti körzetének kerületi bírósága beleegyezett, hogy a Microsoft 50 domain nevet elkobozzon az államilag támogatott koreai hackercsoport, a Thalliumtól.

Ezt a hálózatot használták áldozatok megcélzására, majd online fiókjaik feltörésére, számítógépeik megfertőzésére, hálózataik biztonságának veszélyeztetésére és érzékeny információk ellopására. Az áldozatokkal kapcsolatos információk alapján a célpontok között kormányzati alkalmazottak, agytrösztök, egyetemi alkalmazottak, a világbékével és az emberi jogokkal foglalkozó szervezetek tagjai, valamint az atomfegyverek elterjedésével foglalkozó egyének voltak. A legtöbb célpont az Egyesült Államokban, valamint Japánban és Dél-Koreában volt.

A tallium általában megpróbálja becsapni az áldozatokat a lándzsás adathalászatnak nevezett technikával. Azáltal, hogy a közösségi médiából, az érintett szervezetek nyilvános személyzeti címjegyzékeiből és más nyilvános forrásokból információkat gyűjt a megcélzott személyekről, a Thallium személyre szabott adathalász e-mailt tud készíteni oly módon, hogy az e-mail hitelességet biztosítson a célpont számára. A tartalom úgy lett megtervezve, hogy legitimnek tűnjön, de alapos vizsgálat azt mutatja, hogy a Tallium meghamisította a feladót azzal, hogy az „r” és „n” betűket az „m” első betűként kombinálta a „microsoft.com” webhelyen.

Az e-mailben található hivatkozás egy olyan webhelyre irányítja át a felhasználót, amely a felhasználói fiók hitelesítési adatait kéri. Azáltal, hogy ráveszi az áldozatokat, hogy rákattintsanak a csaló linkekre, és megadják a hitelesítő adataikat, a Tallium ezután be tud jelentkezni az áldozat fiókjába. Az áldozatfiók sikeres feltörésekor a Thallium áttekintheti az e-maileket, névjegyzékeket, naptári találkozókat és minden más érdekességet a feltört fiókban. A Tallium gyakran új levéltovábbítási szabályt is létrehoz az áldozat fiókbeállításaiban. Ez a levéltovábbítási szabály az áldozat által kapott összes új e-mailt Tallium által vezérelt fiókokba továbbítja. A továbbítási szabályok használatával a Tallium továbbra is láthatja az áldozat által kapott e-maileket, még az áldozat jelszavának frissítése után is.

A felhasználói hitelesítő adatok megcélzása mellett a Thallium rosszindulatú programokat is használ a rendszerek feltörésére és adatok ellopására. Miután telepítették az áldozat számítógépére, ez a kártevő kiszűri onnan az információkat, folyamatosan jelen van, és további utasításokra vár. A talliumot fenyegető szereplők „BabyShark” és „KimJongRAT” nevű ismert rosszindulatú programokat használtak.

Ez a negyedik nemzetállami tevékenységi csoport, amely ellen a Microsoft hasonló jogi lépéseket tett a rosszindulatú tartományi infrastruktúra leállítása érdekében. A korábbi fennakadások a Kínából származó báriumot célozták, Stroncium, Oroszországból működő, és Foszfor, Iránból üzemel.

Az ilyen fenyegetések elleni védelem érdekében a Microsoft azt javasolja a felhasználóknak, hogy engedélyezzék a kéttényezős hitelesítést minden üzleti és személyes e-mail fiókban. Másodszor, a felhasználóknak tanulniuk kell hogyan lehet észrevenni az adathalász sémákat és megvédjék magukat tőlük. Végül, engedélyezze a biztonsági figyelmeztetéseket a gyanús webhelyekről származó hivatkozásokról és fájlokról, és óvatosan ellenőrizze az e-mail továbbítását minden gyanús tevékenységre vonatkozó szabályokat.