Microsoft kaprer 50 domenenavn fra Thallium-hackergruppen

Microsoft har lagt ut om sin siste seier mot statsstøttede hackergrupper etter at US District Court for Eastern District of Virginia gikk med på å la Microsoft konfiskere 50 domenenavn fra den statsstøttede koreanske hackergruppen Thallium.

Dette nettverket ble brukt til å målrette mot ofre og deretter kompromittere deres nettkontoer, infisere datamaskinene deres, kompromittere sikkerheten til nettverkene deres og stjele sensitiv informasjon. Basert på offerinformasjon inkluderte målene statsansatte, tenketanker, universitetsansatte, medlemmer av organisasjoner med fokus på verdensfred og menneskerettigheter, og enkeltpersoner som jobber med atomspredningsspørsmål. De fleste målene var basert i USA, samt Japan og Sør-Korea.

Thallium prøver vanligvis å lure ofre gjennom en teknikk kjent som spydfiske. Ved å samle informasjon om de målrettede individene fra sosiale medier, offentlige personellkataloger fra organisasjoner individet er involvert i og andre offentlige kilder, er Thallium i stand til å lage en personlig spear-phishing-e-post på en måte som gir e-posten troverdighet til målet. Innholdet er designet for å virke legitimt, men nærmere gjennomgang viser at Thallium har forfalsket avsenderen ved å kombinere bokstavene «r» og «n» for å vises som den første bokstaven «m» i «microsoft.com».

Linken i e-posten omdirigerer brukeren til et nettsted som ber om brukerens kontolegitimasjon. Ved å lure ofre til å klikke på de uredelige lenkene og oppgi påloggingsinformasjonen deres, kan Thallium deretter logge på offerets konto. Ved vellykket kompromittering av en offerkonto, kan Thallium gjennomgå e-poster, kontaktlister, kalenderavtaler og alt annet av interesse i den kompromitterte kontoen. Thallium oppretter ofte også en ny regel for videresending av post i offerets kontoinnstillinger. Denne regelen for videresending av e-post vil videresende alle nye e-poster mottatt av offeret til Thallium-kontrollerte kontoer. Ved å bruke videresendingsregler kan Thallium fortsette å se e-post mottatt av offeret, selv etter at offerets kontopassord er oppdatert.

I tillegg til å målrette brukerlegitimasjon, bruker Thallium også skadelig programvare for å kompromittere systemer og stjele data. Når den er installert på et offers datamaskin, eksfiltrerer denne skadelige programvaren informasjon fra den, opprettholder en vedvarende tilstedeværelse og venter på ytterligere instruksjoner. Thallium-trusselaktørene har brukt kjent skadelig programvare kalt "BabyShark" og "KimJongRAT."

Dette er den fjerde nasjonalstatlige aktivitetsgruppen som Microsoft har anlagt lignende rettslige handlinger mot for å fjerne skadelig domeneinfrastruktur. Tidligere forstyrrelser har vært rettet mot Barium, som opererer fra Kina, Strontium, opererer fra Russland, og Fosfor, opererer fra Iran.

For å beskytte mot denne typen trusler, foreslår Microsoft at brukere aktiverer tofaktorautentisering på alle forretnings- og personlige e-postkontoer. For det andre må brukerne lære hvordan oppdage phishing-opplegg og beskytte seg mot dem. Til slutt, aktivere sikkerhetsvarsler om lenker og filer fra mistenkelige nettsteder og nøye sjekk videresendingen av e-post regler for enhver mistenkelig aktivitet.