Microsoft membajak 50 nama domain dari grup peretas Thallium

Microsoft telah memposting tentang kemenangan terbarunya melawan kelompok peretas yang disponsori negara setelah Pengadilan Distrik AS untuk Distrik Timur Virginia setuju untuk mengizinkan Microsoft menyita 50 nama domain dari kelompok peretas Korea yang disponsori negara Thallium.

Jaringan ini digunakan untuk menargetkan korban dan kemudian membahayakan akun online mereka, menginfeksi komputer mereka, membahayakan keamanan jaringan mereka dan mencuri informasi sensitif. Berdasarkan informasi korban, target termasuk pegawai pemerintah, think tank, anggota staf universitas, anggota organisasi yang berfokus pada perdamaian dunia dan hak asasi manusia, dan individu yang bekerja pada masalah proliferasi nuklir. Sebagian besar target berbasis di AS, serta Jepang dan Korea Selatan.

Talium biasanya mencoba mengelabui korban melalui teknik yang dikenal sebagai spear phishing. Dengan mengumpulkan informasi tentang individu yang ditargetkan dari media sosial, direktori personalia publik dari organisasi yang terlibat dengan individu tersebut dan sumber publik lainnya, Thallium mampu membuat email spear-phishing yang dipersonalisasi dengan cara yang memberikan kredibilitas email kepada target. Konten dirancang agar tampak sah, tetapi tinjauan lebih dekat menunjukkan bahwa Thallium telah menipu pengirim dengan menggabungkan huruf "r" dan "n" untuk muncul sebagai huruf pertama "m" di "microsoft.com."

Tautan dalam email mengarahkan pengguna ke situs web yang meminta kredensial akun pengguna. Dengan menipu korban agar mengklik tautan penipuan dan memberikan kredensial mereka, Thallium kemudian dapat masuk ke akun korban. Setelah berhasil mengkompromikan akun korban, Thallium dapat meninjau email, daftar kontak, janji temu kalender, dan hal lain yang menarik dalam akun yang disusupi. Thallium sering juga membuat aturan penerusan email baru di pengaturan akun korban. Aturan penerusan email ini akan meneruskan semua email baru yang diterima oleh korban ke akun yang dikontrol Thallium. Dengan menggunakan aturan penerusan, Thallium dapat terus melihat email yang diterima oleh korban, bahkan setelah kata sandi akun korban diperbarui.

Selain menargetkan kredensial pengguna, Thallium juga menggunakan malware untuk mengkompromikan sistem dan mencuri data. Setelah terinstal di komputer korban, malware ini mengekstrak informasi darinya, mempertahankan keberadaannya dan menunggu instruksi lebih lanjut. Pelaku ancaman Thallium telah menggunakan malware yang dikenal bernama "BabyShark" dan "KimJongRAT."

Ini adalah grup aktivitas negara-bangsa keempat di mana Microsoft telah mengajukan tindakan hukum serupa untuk menghapus infrastruktur domain berbahaya. Gangguan sebelumnya telah menargetkan Barium, yang beroperasi dari China, strontium, beroperasi dari Rusia, dan Fosfor, beroperasi dari Iran.

Untuk melindungi dari ancaman semacam ini, Microsoft menyarankan pengguna mengaktifkan otentikasi dua faktor di semua akun email bisnis dan pribadi. Kedua, pengguna perlu belajar cara mengenali skema phishing dan melindungi diri mereka dari mereka. Akhirnya, aktifkan peringatan keamanan tentang tautan dan file dari situs web yang mencurigakan dan hati-hati periksa penerusan email Anda aturan untuk setiap aktivitas yang mencurigakan.