Microsoft kaapt 50 domeinnamen van hackergroep Thallium

Microsoft heeft gepost over de laatste overwinning op door de staat gesponsorde hackergroepen nadat de Amerikaanse rechtbank voor het oostelijke district van Virginia ermee instemde Microsoft toe te staan ​​50 domeinnamen van de door de staat gesponsorde Koreaanse hackergroep Thallium in beslag te nemen.

Dit netwerk werd gebruikt om slachtoffers te targeten en vervolgens hun online accounts te compromitteren, hun computers te infecteren, de veiligheid van hun netwerken in gevaar te brengen en gevoelige informatie te stelen. Op basis van slachtofferinformatie waren de doelwitten onder meer overheidsmedewerkers, denktanks, universiteitsmedewerkers, leden van organisaties die zich richten op wereldvrede en mensenrechten, en personen die zich bezighouden met nucleaire proliferatiekwesties. De meeste doelen waren gevestigd in de VS, maar ook in Japan en Zuid-Korea.

Thallium probeert slachtoffers meestal te misleiden door middel van een techniek die bekend staat als spear phishing. Door informatie te verzamelen over de beoogde personen van sociale media, openbare personeelslijsten van organisaties waarbij de persoon betrokken is en andere openbare bronnen, is Thallium in staat om een ​​gepersonaliseerde spear-phishing-e-mail te maken op een manier die de e-mail geloofwaardigheid geeft aan het doelwit. De inhoud is ontworpen om legitiem te lijken, maar bij nadere beschouwing blijkt dat Thallium de afzender heeft vervalst door de letters "r" en "n" te combineren om als de eerste letter "m" in "microsoft.com" te verschijnen.

De link in de e-mail leidt de gebruiker om naar een website die om de accountgegevens van de gebruiker vraagt. Door slachtoffers te misleiden om op de frauduleuze links te klikken en hun inloggegevens te verstrekken, kan Thallium vervolgens inloggen op het account van het slachtoffer. Na succesvolle compromittering van een slachtofferaccount, kan Thallium e-mails, contactlijsten, agenda-afspraken en al het andere van belang in het gecompromitteerde account bekijken. Thallium maakt vaak ook een nieuwe regel voor het doorsturen van e-mail in de accountinstellingen van het slachtoffer. Deze regel voor het doorsturen van e-mail stuurt alle nieuwe e-mails die door het slachtoffer zijn ontvangen door naar door Thallium gecontroleerde accounts. Door doorstuurregels te gebruiken, kan Thallium de door het slachtoffer ontvangen e-mail blijven zien, zelfs nadat het accountwachtwoord van het slachtoffer is bijgewerkt.

Naast het targeten van gebruikersreferenties, gebruikt Thallium ook malware om systemen te compromitteren en gegevens te stelen. Eenmaal geïnstalleerd op de computer van een slachtoffer, filtert deze malware er informatie uit, blijft ze aanwezig en wacht op verdere instructies. De Thallium-bedreigingsactoren hebben bekende malware genaamd "BabyShark" en "KimJongRAT" gebruikt.

Dit is de vierde nationale activiteitengroep waartegen Microsoft soortgelijke juridische stappen heeft ondernomen om kwaadaardige domeininfrastructuur te verwijderen. Eerdere verstoringen waren gericht op Barium, opererend vanuit China, Strontium, opererend vanuit Rusland, en Fosfor, opererend vanuit Iran.

Om zich tegen dit soort bedreigingen te beschermen, stelt Microsoft voor dat gebruikers tweefactorauthenticatie inschakelen voor alle zakelijke en persoonlijke e-mailaccounts. Ten tweede moeten gebruikers leren hoe phishing-schema's te herkennen en zichzelf tegen hen beschermen. als laatste, beveiligingswaarschuwingen inschakelen over links en bestanden van verdachte websites en zorgvuldig controleer uw e-mail forwarding regels voor verdachte activiteiten.