マイクロソフトはタリウムハッカーグループから50のドメイン名をハイジャックします

Microsoft 投稿しました バージニア州東部地区連邦地方裁判所が、マイクロソフトが国営の韓国のハッカーグループであるタリウムから50のドメイン名を没収することを許可した後の、国営のハッカーグループに対する最近の勝利について。

このネットワークは、被害者を標的にして、オンラインアカウントを侵害し、コンピューターを感染させ、ネットワークのセキュリティを侵害し、機密情報を盗むために使用されました。 被害者の情報に基づくと、ターゲットには、公務員、シンクタンク、大学職員、世界平和と人権に焦点を当てた組織のメンバー、および核拡散問題に取り組む個人が含まれていました。 ほとんどのターゲットは、日本と韓国だけでなく、米国に基づいていました。

タリウムは通常、スピアフィッシングと呼ばれる手法で被害者をだまそうとします。 Thalliumは、ソーシャルメディア、個人が関与する組織の公務員名簿、およびその他の公的な情報源から対象の個人に関する情報を収集することにより、対象に電子メールの信頼性を与える方法で、パーソナライズされたスピアフィッシング電子メールを作成できます。 コンテンツは正当に見えるように設計されていますが、詳細に確認すると、Thalliumは、文字「r」と「n」を組み合わせて「microsoft.com」の最初の文字「m」として表示することにより、送信者を偽装していることがわかります。

電子メール内のリンクは、ユーザーのアカウント資格情報を要求するWebサイトにユーザーをリダイレクトします。 被害者をだまして不正なリンクをクリックさせ、資格情報を提供することで、Thalliumは被害者のアカウントにログインできるようになります。 被害者のアカウントの侵害に成功すると、Thalliumは、電子メール、連絡先リスト、カレンダーの予定、および侵害されたアカウントに関係するその他のあらゆるものを確認できます。 タリウムは、被害者のアカウント設定に新しいメール転送ルールを作成することもよくあります。 このメール転送ルールは、被害者が受信したすべての新着メールをタリウムが管理するアカウントに転送します。 転送ルールを使用することにより、Thalliumは、被害者のアカウントパスワードが更新された後でも、被害者が受信した電子メールを引き続き確認できます。

Thalliumは、ユーザーの資格情報を標的にするだけでなく、マルウェアを利用してシステムを侵害し、データを盗みます。 被害者のコンピューターにインストールされると、このマルウェアはそこから情報を盗み出し、永続的な存在を維持し、さらなる指示を待ちます。 タリウムの脅威アクターは、「BabyShark」および「KimJongRAT」という名前の既知のマルウェアを利用しています。

これは、マイクロソフトが悪意のあるドメインインフラストラクチャを停止するために同様の法的措置を講じたXNUMX番目の国民国家活動グループです。 以前の混乱は、中国から運営されているバリウムを標的にしており、 ストロンチウム、ロシアからの運営、および リン、イランから運営。

この種の脅威から保護するために、Microsoftは、ユーザーがすべてのビジネスおよび個人の電子メールアカウントでXNUMX要素認証を有効にすることをお勧めします。 第二に、ユーザーは学ぶ必要があります フィッシング詐欺を発見する方法 そしてそれらから身を守ります。 最後に、 セキュリティアラートを有効にする 疑わしいウェブサイトからのリンクやファイルについて、慎重に メール転送を確認してください 疑わしい活動のルール。