Microsoft dirotta 50 nomi di dominio dal gruppo di hacker Thallium

Microsoft ha pubblicato sulla sua ultima vittoria contro i gruppi di hacker sponsorizzati dallo stato dopo che il tribunale distrettuale degli Stati Uniti per il distretto orientale della Virginia ha accettato di consentire a Microsoft di confiscare 50 nomi di dominio dal gruppo di hacker coreano sponsorizzato dallo stato Thallium.

Questa rete è stata utilizzata per prendere di mira le vittime e quindi compromettere i loro account online, infettare i loro computer, compromettere la sicurezza delle loro reti e rubare informazioni sensibili. Sulla base delle informazioni sulle vittime, gli obiettivi includevano dipendenti governativi, gruppi di riflessione, membri del personale universitario, membri di organizzazioni focalizzate sulla pace nel mondo e sui diritti umani e individui che lavorano su questioni relative alla proliferazione nucleare. La maggior parte degli obiettivi aveva sede negli Stati Uniti, così come in Giappone e Corea del Sud.

Il tallio in genere tenta di ingannare le vittime attraverso una tecnica nota come spear phishing. Raccogliendo informazioni sugli individui presi di mira dai social media, dagli elenchi del personale pubblico dalle organizzazioni con cui l'individuo è coinvolto e da altre fonti pubbliche, Thallium è in grado di creare un'e-mail di spear-phishing personalizzata in un modo che dia credibilità all'e-mail all'obiettivo. Il contenuto è progettato per apparire legittimo, ma un esame più attento mostra che Thallium ha falsificato il mittente combinando le lettere "r" e "n" per apparire come la prima lettera "m" in "microsoft.com".

Il collegamento nell'e-mail reindirizza l'utente a un sito Web che richiede le credenziali dell'account dell'utente. Inducendo le vittime a fare clic sui collegamenti fraudolenti e a fornire le proprie credenziali, Thallium è quindi in grado di accedere all'account della vittima. In caso di compromissione riuscita di un account vittima, Thallium può rivedere e-mail, elenchi di contatti, appuntamenti del calendario e qualsiasi altra cosa di interesse nell'account compromesso. Thallium crea spesso anche una nuova regola di inoltro della posta nelle impostazioni dell'account della vittima. Questa regola di inoltro della posta inoltrerà tutte le nuove e-mail ricevute dalla vittima agli account controllati da Thallium. Utilizzando le regole di inoltro, Thallium può continuare a vedere le e-mail ricevute dalla vittima, anche dopo che la password dell'account della vittima è stata aggiornata.

Oltre a prendere di mira le credenziali degli utenti, Thallium utilizza anche malware per compromettere i sistemi e rubare dati. Una volta installato sul computer di una vittima, questo malware esfiltra le informazioni da esso, mantiene una presenza persistente e attende ulteriori istruzioni. Gli attori della minaccia Thallium hanno utilizzato malware noto chiamato "BabyShark" e "KimJongRAT".

Questo è il quarto gruppo di attività di uno stato nazionale contro il quale Microsoft ha intentato azioni legali simili per eliminare l'infrastruttura di dominio dannosa. Precedenti interruzioni hanno preso di mira Barium, che opera dalla Cina, Stronzio, operante dalla Russia, e Fosforo, operante dall'Iran.

Per proteggersi da questo tipo di minacce, Microsoft suggerisce agli utenti di abilitare l'autenticazione a due fattori su tutti gli account di posta elettronica aziendali e personali. In secondo luogo, gli utenti devono imparare come individuare gli schemi di phishing e proteggersi da loro. Infine, abilitare gli avvisi di sicurezza su collegamenti e file da siti Web sospetti e con attenzione controlla il tuo inoltro email regole per qualsiasi attività sospetta.