Microsoft захопила 50 доменних імен у групи хакерів Thallium

Microsoft опублікував про свою останню перемогу над спонсорованими державою хакерськими групами після того, як окружний суд США у Східному окрузі Вірджинії погодився дозволити Microsoft конфіскувати 50 доменних імен у спонсорованої державою корейської хакерської групи Thallium.

Ця мережа використовувалася для націлювання на жертв, а потім компрометації їхніх онлайн-рахунків, зараження їхніх комп’ютерів, порушення безпеки їхніх мереж та крадіжки конфіденційної інформації. Виходячи з інформації про жертви, цілі включали державних службовців, аналітичних центрів, співробітників університетів, членів організацій, які займаються питаннями миру в усьому світі та прав людини, а також осіб, які займаються питаннями розповсюдження ядерної зброї. Більшість цілей базувалися в США, а також в Японії та Південній Кореї.

Талій зазвичай намагається обдурити жертв за допомогою техніки, відомої як спис-фішинг. Збираючи інформацію про цільових осіб із соціальних медіа, публічних каталогів персоналу з організацій, з якими бере участь особа, та інших публічних джерел, Thallium може створити персоналізовану електронну пошту для фішингу таким чином, щоб надати електронній пошті довіру до цілі. Вміст створений таким чином, щоб виглядати законним, але більш детальний огляд показує, що Thallium підробив відправника, об’єднавши літери «r» і «n», щоб з’явитися як перша літера «m» у «microsoft.com».

Посилання в електронному листі перенаправляє користувача на веб-сайт із запитом облікових даних користувача. Обманом змусивши жертв натиснути на шахрайські посилання та надати свої облікові дані, Thallium може потім увійти в обліковий запис жертви. Після успішного компрометації облікового запису жертви Thallium може переглядати електронні листи, списки контактів, зустрічі в календарі та все інше, що цікавить у зламаному обліковому записі. Талій часто також створює нове правило пересилання пошти в налаштуваннях облікового запису жертви. Це правило пересилання пошти пересилає всі нові листи, отримані жертвою, на облікові записи, що контролюються Талієм. Використовуючи правила пересилання, Thallium може продовжувати бачити електронні листи, отримані жертвою, навіть після оновлення пароля облікового запису жертви.

Окрім націлювання на облікові дані користувачів, Thallium також використовує зловмисне програмне забезпечення для компрометації систем та крадіжки даних. Після встановлення на комп’ютер жертви це зловмисне програмне забезпечення витягує з нього інформацію, зберігає постійну присутність і чекає подальших інструкцій. Загрози Thalium використовували відоме шкідливе програмне забезпечення під назвою «BabyShark» і «KimJongRAT».

Це четверта національна діяльна група, проти якої Microsoft подала подібні судові позови щодо знищення шкідливої ​​інфраструктури домену. Попередні збої були спрямовані на барій, який надходить із Китаю, Стронцій, що працює з Росії, і Фосфор, що працює з Ірану.

Щоб захистити від таких загроз, Microsoft пропонує користувачам увімкнути двофакторну автентифікацію для всіх службових та особистих облікових записів електронної пошти. По-друге, користувачі повинні вчитися як виявити фішингові схеми і захистити себе від них. нарешті, увімкнути сповіщення безпеки про посилання та файли з підозрілих веб-сайтів і обережно перевірте пересилання електронної пошти правила щодо будь-якої підозрілої діяльності.