微软成功清理与朝鲜黑客攻击有关的50个域名

网络钓鱼邮件样本(图自:Microsoft)

(图自:Palo Alto Networks,via ZDNet)

微软中国官方商城 - 首页

当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。

微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示:

访问:

“攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。

此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。

thallium-phishing.gif

12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。

以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。

在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。

babyshark.png

此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。

Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。