微軟起訴朝鮮黑客組織Thallium

2019-12-31 46824人圍觀 ,發現 2 個不明物體 資訊

微軟起訴了一個網絡間諜組織Thallium,該組織與朝鮮關系密切。據12月27日收到的起訴書表明,該組織通過魚叉式網絡釣魚攻擊侵入其客戶的賬戶和網絡,以竊取敏感信息。

North_Korea.png

“為管理和指揮Thallium,被告已在網上成立運營一個由網站、域和計算機組成的網絡,他們有特定目標,利用該網絡破壞客戶的網絡賬戶,感染其設備,并從其中竊取敏感信息。”

該訴訟由微軟于12月18日向美國弗吉尼亞州東區地方法院提起,由彭博社法律雜志的Blake Brittain首次報道。

“此次活動的幕后指使人的身份和地理位置尚不得而知,但是安全社區人員認為和朝鮮黑客組織有關。”

微軟表示,Thallium的攻擊目標不限于公共或者私營行業,政府官員、從事核擴散問題的組織和個人、智庫、大學工作人員,維和組織成員、人權組織以及許多其他組織和個人都是他們的目標。”

據Redmond的投訴,朝鮮黑客至少從2010年就開始活躍,通過Gmail、Yahoo和Hotmail等合法服務進行魚叉式網絡釣魚攻擊,以此為人得知。

投訴附錄A中列出了Thallium在其攻擊中使用的50個域的名單,微軟按照法院命令將其刪除。

微軟客戶安全與信任副主任Tom Burt在博客中表示: “我們在弗吉尼亞州東區的美國聯邦法院提起針對Thallium的法庭訴訟,法院下達的命令使微軟能夠控制該組織活動的50個域名。此外,刪除之后,這些站點將不再被用來執行攻擊。”

STOLEN PENCIL APT組織活動的背后

Netscout的ATLAS安全工程和響應小組(ASERT)還追蹤到了朝鮮黑客組織活動之一的STOLEN PENCIL。

根據Netscout的說法,至少從2018年5月起, STOLEN PENCIL APT活動就一直針對學術機構進行魚叉式網絡釣魚攻擊,最終目標是竊取憑據。

基于共享資源,Palo Alto Networks的Unit42還將Thallium的STOLEN PENCIL活動與一種名為BabyShark的惡意軟件相關聯,且是其魚叉式網絡釣魚活動的一部分。該活動的重點是從2018年11月開始“收集亞洲東北部國家的安全問題情報”。

Unit42說:“精心制作的魚叉式網絡釣魚電子郵件和誘餌表明,威脅行為者非常清楚目標,并密切監視相關社區事件以收集最新情報。”

“雖然沒有定論,但我們懷疑,BabyShark背后之人可能與KimJongRAT惡意軟件家族背后之人有聯系,至少與負責STOLEN PENCIL運動的攻擊者共享資源。”

KimJongRAT惡意軟件樣本可以追溯到2010年。BabyShark惡意軟件經常作為電子郵件的惡意附件發送給用戶。惡意軟件將刪除帶有文件擴展名的文件,然后該文件將發送一個命令,以標出并獲取編碼腳本,再將編碼腳本返回設備。

微軟在Thallium投訴中確認了這些關聯,并說:“除了竊取用戶憑據,Thallium還利用惡意軟件,最常見的本土化植入惡意軟件為“ BabyShark”和“ KimJongRAT”,用以破壞系統和竊取數據。”

“ Thallium使用誤導性域名和微軟商標,使受害者單擊鏈接,從而在受害者的計算機上安裝其惡意軟件。一旦成功,此惡意軟件就會從受害者計算機中竊取信息,且長久存在,并等待Thallium的進一步指示。”

gettyimages-929478508.jpg

針對Microsoft客戶的攻擊

Redmond在7月份也曾提及朝鮮政府贊助的Thallium,該公司表示在過去一年中通知了大約10000名客戶,這些客戶也是他國的威脅組織的攻擊目標。

微軟Tom Burt表示:“這些攻擊中約有84%是針對我們的企業客戶,約16%是針對消費者的個人電子郵件賬戶。”

伊朗和俄羅斯的APT組織也是攻擊微軟客戶的幕后黑手,包括來自伊朗的Holmium和Mercury等以及來自俄羅斯的Yttrium和Strontium(又名Fancy Bear或APT28),在某些惡意活動中泄露客戶信息。

在偵察網絡間諜活動的同時,微軟檢測到針對2016年美國總統大選和最近一次法國總統大選的攻擊,俄羅斯Strontium黑客組織也曾盯上2018年美國參議院候選人。

捕獲Phosphorus和Fancy Bear的域名

Burt說:“這是微軟第四次利用法律手段制裁國家活動組織,旨在拆除惡意域的基礎結構設施。這些行動導致了數百個域的刪除,保護了數千名受害者,并改善了生態系統的安全性。”

微軟威脅情報中心(MSTIC)之前發現了伊朗網絡間諜組織為Phosphorus(又名APT35,Charming Kitten或Ajax安全組織),該組織試圖獲取2700多名客戶的賬戶信息,其中241個賬戶受到攻擊,最終在8月到9月之間獲取了其中四個攻擊賬戶。

微軟的數字犯罪部門能夠通過基礎架構域來阻止Phosphorus組織的某些網絡攻擊。基礎架構域是其開展攻擊的核心。通過控制其99個域名,Microsoft獲取黑客組織的部分業務,并將流量轉向,從而收集了有關該黑客組織活動的重要信息。

該公司此前還于2018年8月對Strontium提起了15起類似案件,后來又沒收了91個域名。

*參考來源:BLEEPINGCOMPUTER,Sandra1432編譯,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 2 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

83 文章數 2 評論數 1 關注者

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗