Microsoft kapar 50 domännamn från hackergruppen Thallium

Microsoft har lagt ut om sin senaste seger mot statligt sponsrade hackergrupper efter att den amerikanska distriktsdomstolen för det östra distriktet Virginia gick med på att tillåta Microsoft att konfiskera 50 domännamn från den statligt sponsrade koreanska hackergruppen Thallium.

Detta nätverk användes för att rikta in sig på offer och sedan äventyra deras onlinekonton, infektera deras datorer, äventyra säkerheten i deras nätverk och stjäla känslig information. Baserat på information om offren inkluderade målen statligt anställda, tankesmedjor, universitetsanställda, medlemmar av organisationer fokuserade på världsfred och mänskliga rättigheter och individer som arbetar med kärnvapenspridningsfrågor. De flesta mål var baserade i USA, samt Japan och Sydkorea.

Thallium försöker vanligtvis lura offer genom en teknik som kallas spear phishing. Genom att samla information om de riktade individerna från sociala medier, offentliga personalkataloger från organisationer som individen är involverad i och andra offentliga källor, kan Thallium skapa ett personligt spear-phishing-e-postmeddelande på ett sätt som ger e-postmeddelandet trovärdighet till målet. Innehållet är designat för att verka legitimt, men en närmare granskning visar att Thallium har förfalskat avsändaren genom att kombinera bokstäverna "r" och "n" för att visas som den första bokstaven "m" i "microsoft.com."

Länken i e-postmeddelandet omdirigerar användaren till en webbplats som begär användarens kontouppgifter. Genom att lura offren att klicka på de bedrägliga länkarna och tillhandahålla sina referenser kan Thallium sedan logga in på offrets konto. Efter lyckad kompromiss av ett offerkonto kan Thallium granska e-postmeddelanden, kontaktlistor, kalendermöten och allt annat av intresse på det inträngda kontot. Thallium skapar ofta också en ny regel för vidarebefordran av e-post i offrets kontoinställningar. Denna regel för vidarebefordran av e-post kommer att vidarebefordra alla nya e-postmeddelanden som offret tar emot till Thallium-kontrollerade konton. Genom att använda vidarebefordransregler kan Thallium fortsätta att se e-postmeddelanden som offret tar emot, även efter att offrets kontolösenord har uppdaterats.

Förutom att rikta in sig på användaruppgifter, använder Thallium också skadlig programvara för att äventyra system och stjäla data. När den har installerats på ett offers dator, exfiltrerar denna skadliga programvara information från den, upprätthåller en ihållande närvaro och väntar på ytterligare instruktioner. Thallium-hotaktörerna har använt känd skadlig programvara som heter "BabyShark" och "KimJongRAT."

Detta är den fjärde nationalstatliga aktivitetsgruppen mot vilken Microsoft har väckt liknande rättsliga åtgärder för att ta ner skadlig domäninfrastruktur. Tidigare störningar har riktats mot Barium, som verkar från Kina, Strontium, verksamma från Ryssland, och Fosfor, verksamma från Iran.

För att skydda mot den här typen av hot föreslår Microsoft att användare aktiverar tvåfaktorsautentisering på alla företags- och personliga e-postkonton. För det andra måste användarna lära sig hur man upptäcker nätfiskesystem och skydda sig från dem. Slutligen, aktivera säkerhetsvarningar om länkar och filer från misstänkta webbplatser och noggrant kontrollera din vidarebefordran av e-post regler för misstänkt aktivitet.