Microsoft deturnează 50 de nume de domenii din grupul de hackeri Thallium

Microsoft a postat despre ultima sa victorie împotriva grupurilor de hackeri sponsorizate de stat, după ce Tribunalul Districtual al Statelor Unite pentru Districtul de Est al Virginiei a fost de acord să permită Microsoft să confisque 50 de nume de domenii de la grupul de hackeri coreean sponsorizat de stat Thallium.

Această rețea a fost folosită pentru a viza victimele și apoi pentru a le compromite conturile online, a le infecta computerele, a compromite securitatea rețelelor și a fura informații sensibile. Pe baza informațiilor despre victime, țintele au inclus angajați guvernamentali, grupuri de reflecție, membri ai personalului universitar, membri ai organizațiilor axate pe pacea mondială și drepturile omului și persoane care lucrează pe probleme de proliferare nucleară. Cele mai multe ținte aveau sediul în SUA, precum și în Japonia și Coreea de Sud.

Thallium încearcă de obicei să păcălească victimele printr-o tehnică cunoscută sub numele de spear phishing. Prin colectarea de informații despre persoanele vizate din rețelele sociale, directoarele personalului public de la organizațiile cu care individul este implicat și din alte surse publice, Thallium este capabil să creeze un e-mail personalizat de spear-phishing într-un mod care conferă e-mailului credibilitate țintei. Conținutul este conceput pentru a părea legitim, dar o analiză mai atentă arată că Thallium a falsificat expeditorul combinând literele „r” și „n” pentru a apărea ca prima literă „m” în „microsoft.com”.

Linkul din e-mail redirecționează utilizatorul către un site web care solicită acreditările contului utilizatorului. Păcălindu-le victimele să facă clic pe linkurile frauduloase și să le furnizeze acreditările, Thallium se poate conecta apoi la contul victimei. După compromiterea cu succes a unui cont de victimă, Thallium poate revizui e-mailurile, listele de contacte, întâlnirile din calendar și orice altceva de interes din contul compromis. Thallium creează adesea și o nouă regulă de redirecționare a e-mailurilor în setările contului victimei. Această regulă de redirecționare a e-mailurilor va redirecționa toate e-mailurile noi primite de victimă către conturile controlate de Thallium. Utilizând regulile de redirecționare, Thallium poate continua să vadă e-mailurile primite de victimă, chiar și după ce parola contului victimei este actualizată.

Pe lângă faptul că vizează acreditările utilizatorilor, Thallium utilizează și programe malware pentru a compromite sistemele și a fura date. Odată instalat pe computerul unei victime, acest malware exfiltrează informații din acesta, menține o prezență persistentă și așteaptă instrucțiuni suplimentare. Actorii amenințărilor Thallium au folosit malware cunoscut numit „BabyShark” și „KimJongRAT”.

Acesta este al patrulea grup de activitate de stat național împotriva căruia Microsoft a depus acțiuni legale similare pentru a elimina infrastructura de domeniu rău intenționată. Întrerupțiile anterioare au vizat Barium, care operează din China, Stronţiu, care operează din Rusia și Fosfor, care operează din Iran.

Pentru a se proteja împotriva acestui tip de amenințări, Microsoft sugerează utilizatorilor să activeze autentificarea cu doi factori pentru toate conturile de e-mail de afaceri și personale. În al doilea rând, utilizatorii trebuie să învețe cum să depistați schemele de phishing și să se protejeze de ele. În cele din urmă, activați alertele de securitate despre link-uri și fișiere de pe site-uri web suspecte și cu atenție verificați redirecționarea e-mailului reguli pentru orice activitate suspectă.