Microsoft захватила 50 доменных имен у хакерской группы Thallium

Microsoft опубликовал о своей последней победе над спонсируемыми государством хакерскими группами после того, как Окружной суд США Восточного округа Вирджинии согласился разрешить Microsoft конфисковать 50 доменных имен у спонсируемой государством корейской хакерской группы Thallium.

Эта сеть использовалась для нападения на жертв, а затем для взлома их учетных записей в Интернете, заражения их компьютеров, нарушения безопасности их сетей и кражи конфиденциальной информации. Согласно информации жертв, среди целей были государственные служащие, аналитические центры, сотрудники университетов, члены организаций, занимающихся вопросами мира во всем мире и прав человека, а также лица, занимающиеся вопросами распространения ядерного оружия. Большинство целей базировались в США, а также в Японии и Южной Корее.

Таллий обычно пытается обмануть жертв с помощью метода, известного как целевой фишинг. Собирая информацию о целевых лицах из социальных сетей, общедоступных справочников сотрудников организаций, в которых участвует данное лицо, и других общедоступных источников, Thallium может создавать персонализированные фишинговые электронные письма таким образом, чтобы они вызывали доверие у адресата. Содержимое должно выглядеть законным, но при ближайшем рассмотрении видно, что Thallium подделал отправителя, объединив буквы «r» и «n», чтобы они отображались как первая буква «m» в «microsoft.com».

Ссылка в электронном письме перенаправляет пользователя на веб-сайт, запрашивающий учетные данные пользователя. Обманывая жертв, заставляя их переходить по мошенническим ссылкам и предоставляя свои учетные данные, Thallium затем может войти в учетную запись жертвы. После успешной компрометации учетной записи жертвы Thallium может просматривать электронные письма, списки контактов, встречи в календаре и все, что представляет интерес для взломанной учетной записи. Thallium также часто создает новое правило пересылки почты в настройках учетной записи жертвы. Это правило пересылки почты будет пересылать все новые электронные письма, полученные жертвой, на учетные записи, контролируемые Thallium. Используя правила пересылки, Thallium может продолжать видеть электронную почту, полученную жертвой, даже после обновления пароля учетной записи жертвы.

Помимо нацеливания на учетные данные пользователей, Thallium также использует вредоносное ПО для взлома систем и кражи данных. После установки на компьютер жертвы это вредоносное ПО извлекает из него информацию, сохраняет постоянное присутствие и ожидает дальнейших инструкций. Субъекты угрозы Thallium использовали известное вредоносное ПО под названием «BabyShark» и «KimJongRAT».

Это четвертая группа активности национального государства, против которой Microsoft подала аналогичные юридические иски, чтобы уничтожить инфраструктуру вредоносного домена. Предыдущие нарушения касались компании Barium, работающей из Китая. стронций, работающий из России, и Фосфор, работающая из Ирана.

Для защиты от подобных угроз Microsoft предлагает пользователям включить двухфакторную аутентификацию для всех рабочих и личных учетных записей электронной почты. Во-вторых, пользователи должны учиться как распознать фишинговые схемы и защитить себя от них. Наконец, включить оповещения безопасности о ссылках и файлах с подозрительных веб-сайтов и тщательно проверьте переадресацию электронной почты правила для любой подозрительной деятельности.