Microsoft, Thallium hacker grubundan 50 alan adını ele geçirdi

Microsoft gönderdi ABD'nin Virginia Doğu Bölgesi Bölge Mahkemesi, Microsoft'un devlet destekli Koreli hacker grubu Thallium'dan 50 alan adına el koymasına izin vermeyi kabul ettikten sonra, devlet destekli hacker gruplarına karşı kazandığı son zafer hakkında.

Bu ağ, kurbanları hedef almak ve ardından çevrimiçi hesaplarını tehlikeye atmak, bilgisayarlarına bulaşmak, ağlarının güvenliğini tehlikeye atmak ve hassas bilgileri çalmak için kullanıldı. Mağdur bilgilerine dayalı olarak, hedefler arasında hükümet çalışanları, düşünce kuruluşları, üniversite çalışanları, dünya barışı ve insan haklarına odaklanan kuruluşların üyeleri ve nükleer silahların yayılması konularında çalışan kişiler yer aldı. Hedeflerin çoğu ABD'nin yanı sıra Japonya ve Güney Kore'de bulunuyordu.

Thallium, tipik olarak, mızrakla kimlik avı olarak bilinen bir teknikle kurbanları kandırmaya çalışır. Thallium, hedeflenen kişiler hakkında sosyal medyadan, kişinin dahil olduğu kuruluşlardan kamu personel rehberlerinden ve diğer kamu kaynaklarından bilgi toplayarak, hedefe e-posta güvenilirliğini verecek şekilde kişiselleştirilmiş bir hedef odaklı kimlik avı e-postası oluşturabilir. İçerik meşru görünecek şekilde tasarlanmıştır, ancak daha yakından inceleme, Thallium'un "microsoft.com"da "r" ve "n" harflerini birleştirerek "m" ilk harfi olarak görünmesini sağlayarak göndereni yanılttığını gösteriyor.

E-postadaki bağlantı, kullanıcıyı, kullanıcının hesap kimlik bilgilerini isteyen bir web sitesine yönlendirir. Thallium, kurbanları sahte bağlantılara tıklamaları ve kimlik bilgilerini vermeleri için kandırarak kurbanın hesabına giriş yapabilir. Bir kurban hesabının başarılı bir şekilde ele geçirilmesinin ardından, Thallium ele geçirilen hesaptaki e-postaları, kişi listelerini, takvim randevularını ve ilgili diğer her şeyi gözden geçirebilir. Talyum genellikle kurbanın hesap ayarlarında yeni bir posta yönlendirme kuralı oluşturur. Bu posta yönlendirme kuralı, kurban tarafından alınan tüm yeni e-postaları Thallium kontrollü hesaplara iletir. Thallium, yönlendirme kurallarını kullanarak, kurbanın hesap şifresi güncellendikten sonra bile kurban tarafından alınan e-postaları görmeye devam edebilir.

Kullanıcı kimlik bilgilerini hedeflemenin yanı sıra Thallium, sistemleri tehlikeye atmak ve verileri çalmak için kötü amaçlı yazılım da kullanır. Bir kez kurbanın bilgisayarına yüklenen bu kötü amaçlı yazılım, ondan bilgi sızdırır, kalıcı bir varlığını sürdürür ve daha fazla talimat bekler. Thallium tehdit aktörleri, “BabyShark” ve “KimJongRAT” adlı bilinen kötü amaçlı yazılımları kullandılar.

Bu, Microsoft'un kötü niyetli etki alanı altyapısını ortadan kaldırmak için benzer yasal işlemlerde bulunduğu dördüncü ulus devlet faaliyet grubudur. Önceki kesintiler, Çin'den faaliyet gösteren Barium'u hedef aldı, Stronsiyum, Rusya'dan faaliyet gösteren ve Fosfor, İran'dan faaliyet gösteriyor.

Bu tür tehditlere karşı korunmak için Microsoft, kullanıcıların tüm iş ve kişisel e-posta hesaplarında iki faktörlü kimlik doğrulamasını etkinleştirmesini önerir. İkincisi, kullanıcıların öğrenmesi gerekiyor kimlik avı düzenleri nasıl tespit edilir ve kendilerini onlardan korur. Son olarak, güvenlik uyarılarını etkinleştir şüpheli web sitelerinden bağlantılar ve dosyalar hakkında ve dikkatli bir şekilde e-posta yönlendirmenizi kontrol edin Herhangi bir şüpheli etkinlik için kurallar.