Microsoft cướp 50 tên miền từ nhóm hacker Thallium

microsoft đã đăng về chiến thắng mới nhất của họ trước các nhóm hacker do nhà nước tài trợ sau khi Tòa án Quận phía Đông Virginia của Hoa Kỳ đồng ý cho phép Microsoft tịch thu 50 tên miền từ nhóm hacker Hàn Quốc được nhà nước bảo trợ Thallium.

Mạng này được sử dụng để nhắm mục tiêu nạn nhân và sau đó xâm nhập tài khoản trực tuyến của họ, lây nhiễm vào máy tính của họ, xâm phạm an ninh mạng của họ và đánh cắp thông tin nhạy cảm. Dựa trên thông tin nạn nhân, các mục tiêu bao gồm các nhân viên chính phủ, các tổ chức tư vấn, nhân viên trường đại học, thành viên của các tổ chức tập trung vào hòa bình thế giới và nhân quyền, và các cá nhân làm việc về các vấn đề phổ biến vũ khí hạt nhân. Hầu hết các mục tiêu đều có trụ sở tại Mỹ, cũng như Nhật Bản và Hàn Quốc.

Thallium thường cố gắng lừa nạn nhân thông qua một kỹ thuật được gọi là lừa đảo trực tuyến. Bằng cách thu thập thông tin về các cá nhân được nhắm mục tiêu từ phương tiện truyền thông xã hội, danh bạ nhân sự công khai từ các tổ chức mà cá nhân đó có liên quan và các nguồn công khai khác, Thallium có thể tạo ra một email lừa đảo được cá nhân hóa theo cách tạo độ tin cậy cho email đối với mục tiêu. Nội dung được thiết kế để có vẻ hợp pháp, nhưng xem xét kỹ hơn cho thấy Thallium đã giả mạo người gửi bằng cách kết hợp các chữ cái “r” và “n” để xuất hiện dưới dạng chữ cái đầu tiên “m” trong “microsoft.com”.

Liên kết trong email chuyển hướng người dùng đến một trang web yêu cầu thông tin đăng nhập tài khoản của người dùng. Bằng cách lừa nạn nhân nhấp vào các liên kết lừa đảo và cung cấp thông tin đăng nhập của họ, Thallium sau đó có thể đăng nhập vào tài khoản của nạn nhân. Sau khi xâm nhập thành công tài khoản nạn nhân, Thallium có thể xem lại email, danh sách liên hệ, lịch hẹn và bất kỳ thứ gì khác mà bạn quan tâm trong tài khoản bị xâm phạm. Thallium cũng thường tạo quy tắc chuyển tiếp thư mới trong cài đặt tài khoản của nạn nhân. Quy tắc chuyển tiếp thư này sẽ chuyển tiếp tất cả các email mới mà nạn nhân nhận được đến các tài khoản do Thallium kiểm soát. Bằng cách sử dụng các quy tắc chuyển tiếp, Thallium có thể tiếp tục xem email mà nạn nhân nhận được, ngay cả sau khi mật khẩu tài khoản của nạn nhân được cập nhật.

Ngoài việc nhắm mục tiêu thông tin đăng nhập của người dùng, Thallium cũng sử dụng phần mềm độc hại để xâm nhập hệ thống và đánh cắp dữ liệu. Sau khi được cài đặt trên máy tính của nạn nhân, phần mềm độc hại này lấy sạch thông tin từ nó, duy trì sự hiện diện liên tục và chờ hướng dẫn thêm. Các tác nhân đe dọa Thallium đã sử dụng phần mềm độc hại đã biết có tên “BabyShark” và “KimJongRAT”.

Đây là nhóm hoạt động quốc gia-nhà nước thứ tư mà Microsoft đã đệ trình các hành động pháp lý tương tự để gỡ bỏ cơ sở hạ tầng tên miền độc hại. Sự gián đoạn trước đây đã nhắm mục tiêu Barium, hoạt động từ Trung Quốc, chất hóa học, hoạt động từ Nga, và Photpho, hoạt động từ Iran.

Để bảo vệ khỏi những mối đe dọa này, Microsoft đề nghị người dùng bật xác thực hai yếu tố trên tất cả các tài khoản email cá nhân và doanh nghiệp. Thứ hai, người dùng cần học cách phát hiện các âm mưu lừa đảo và bảo vệ mình khỏi chúng. Cuối cùng, bật cảnh báo bảo mật về các liên kết và tệp từ các trang web đáng ngờ và cẩn thận kiểm tra chuyển tiếp email của bạn quy tắc cho bất kỳ hoạt động đáng ngờ nào.