Categories
科技報導

微軟成功清理與朝鮮黑客攻擊有關的50個域名



外媒報導稱,微軟剛剛清理了由朝鮮網絡黑客組織 APT37 運營的 50 個域名。軟件巨頭稱,這些域名一直被 Thallium(亦稱作 PT37)組織用於發動網絡攻擊。通過持續數月的關注、監視和追踪,該公司數字犯罪部門(DCU)和威脅情報中心(MSTIC)團隊得以釐清 Thallium 的基礎架構。

babyshark.png

(圖自:Palo Alto Networks,via ZDNet)

12 月 18 日,總部位於雷德蒙德的微軟,在弗吉尼亞法院向 Thallium 發起了訴訟。聖誕節過後不久,美當局即批准了法院命令,允許該公司接管被朝鮮黑客用於攻擊目的的 50 多個域名。

此前,這些域名常被用於發送網絡釣魚電子郵件和網站頁面。黑客會誘使受害者登陸特製的站點,竊取憑證,從而獲得對內部網絡的訪問權限,並執行後續針對內網的升級攻擊。

微軟表示,除了追踪該組織的網絡攻擊,該公司還調查了被感染的主機。微軟企業客戶副總裁 Tom Burt 表示:

“攻擊主要集中在美、日、韓三國的目標,受害者包括了政府僱員、智囊團、高校工作人員、平權組織成員、以及普通人”。

thallium-phishing.gif

網絡釣魚郵件樣本(圖自:Microsoft)

在諸多案例中,黑客的最終目標是感染受害機器,並引入 KimJongRAT 和 BabyShark 兩個遠程訪問木馬(RAT)。

Tom Burt 補充道:“一旦將惡意軟件安裝在受害者計算機刪,它就會從中竊取信息,保持潛伏並等待進一步的指示”。

當然,這並不是微軟首次通過法院命令來阻斷有外國背景的黑客組織的運作。

此前,微軟曾對有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客組織發起過 12 次行動(上一次是 2018 年 8 月)、並成功撤下了 84 個域名。

以及通過法院命令接管了與伊朗有關的網絡間諜組織 Phosphorus(APT35)運營的 99 個域名。