Microsoft, Thallium 해커 그룹의 도메인 이름 50개 하이재킹

Microsoft 게시했습니다 미국 버지니아 동부 지방 법원이 국영 한국 해커 그룹 탈리움(Thallium)으로부터 마이크로소프트가 50개 도메인 이름을 압수하는 것을 허용하는 데 동의한 후 국영 해커 그룹을 상대로 한 최근 승리에 대해.

이 네트워크는 피해자를 표적으로 삼은 다음 온라인 계정을 손상시키고 컴퓨터를 감염시키며 네트워크 보안을 손상시키고 민감한 정보를 훔치는 데 사용되었습니다. 피해자 정보에 따르면 대상은 공무원, 싱크탱크, 대학 관계자, 세계평화와 인권에 중점을 둔 단체 구성원, 핵확산 문제에 종사하는 개인 등이었다. 대부분의 목표는 미국과 일본, 한국에 기반을 두고 있었습니다.

탈륨은 일반적으로 스피어 피싱으로 알려진 기술을 통해 피해자를 속이려고 시도합니다. 소셜 미디어, 개인이 관련된 조직의 공개 인사 디렉토리 및 기타 공개 소스에서 대상 개인에 대한 정보를 수집함으로써 Thallium은 대상에게 이메일 신뢰성을 제공하는 방식으로 개인화된 스피어 피싱 이메일을 만들 수 있습니다. 콘텐츠는 합법적인 것처럼 보이도록 설계되었지만 자세히 검토한 결과 Thallium은 문자 "r"과 "n"을 결합하여 "microsoft.com"의 첫 번째 문자 "m"으로 표시되도록 발신자를 위장한 것으로 나타났습니다.

이메일의 링크는 사용자의 계정 자격 증명을 요청하는 웹 사이트로 사용자를 리디렉션합니다. 피해자가 사기성 링크를 클릭하도록 속이고 자격 증명을 제공함으로써 Thallium은 피해자의 계정에 로그인할 수 있습니다. 피해자 계정이 성공적으로 손상되면 Thallium은 이메일, 연락처 목록, 일정 약속 및 손상된 계정에 대한 기타 관심 사항을 검토할 수 있습니다. Thallium은 종종 피해자의 계정 설정에서 새로운 메일 전달 규칙을 생성합니다. 이 메일 전달 규칙은 피해자가 수신한 모든 새 이메일을 Thallium 제어 계정으로 전달합니다. 전달 규칙을 사용하여 Thallium은 피해자의 계정 비밀번호가 업데이트된 후에도 피해자가 수신한 이메일을 계속 볼 수 있습니다.

Thallium은 사용자 자격 증명을 표적으로 삼는 것 외에도 멀웨어를 사용하여 시스템을 손상시키고 데이터를 훔칩니다. 피해자의 컴퓨터에 일단 설치되면 이 악성코드는 정보를 빼내고 지속적으로 존재를 유지하며 추가 지시를 기다립니다. Thallium 공격자는 "BabyShark" 및 "KimJongRAT"이라는 알려진 악성코드를 활용했습니다.

이것은 Microsoft가 악성 도메인 인프라를 제거하기 위해 유사한 법적 조치를 취한 네 번째 국가 활동 그룹입니다. 이전의 중단은 중국에서 운영되는 Barium을 대상으로 했으며, 스트론튬, 러시아에서 운영, 인,이란에서 운영.

이러한 종류의 위협으로부터 보호하기 위해 Microsoft는 사용자가 모든 비즈니스 및 개인 전자 메일 계정에서 XNUMX단계 인증을 활성화할 것을 제안합니다. 둘째, 사용자가 배워야 합니다. 피싱 사기를 탐지하는 방법 그리고 그들로부터 자신을 보호하십시오. 마지막으로, 보안 경고 활성화 의심스러운 웹 사이트의 링크 및 파일에 대해 신중하게 이메일 전달 확인 의심스러운 활동에 대한 규칙.