Via een Amerikaanse rechtbank heeft Microsoft controle gekregen over 50 domeinnamen. Microsoft probeert zo cyberaanvallen te verstoren van een hackersgroep die ze Thallium noemen, waarvan wordt aangenomen dat het opereert vanuit Noord-Korea. Deze rechtszaak tegen Thallium, ingediend bij de Amerikaanse rechtbank voor het oostelijke district van Virginia, resulteerde in een gerechtelijk bevel waarmee Microsoft controle kon nemen over de 50 domeinen die de groep gebruikt om haar activiteiten uit te voeren. Met deze actie kunnen de gekoppelde websites niet langer worden gebruikt om aanvallen uit te voeren.
Microsoft heeft Thallium gevolgd en informatie verzameld, waarbij de activiteiten van de groep worden gevolgd om een netwerk van websites, domeinen en computers met internetverbinding op te zetten en te beheren. Dit netwerk werd gebruikt om slachtoffers aan te vallen en vervolgens hun onlineaccounts hacken, hun computers te infecteren, de beveiliging van hun netwerken in gevaar te brengen en gevoelige informatie te stelen. Op basis van slachtofferinformatie omvatte de doelen met name overheidsfunctionarissen, denktanks, universitair personeel, leden van organisaties gericht op wereldvrede en mensenrechten, en individuen die werken aan nucleaire proliferatievraagstukken.
Phishing
Zoals vele cybercriminelen, probeert Thallium slachtoffers meestal te misleiden via een techniek die bekend staat als spear phishing. Door informatie over de beoogde individuen te verzamelen via bijvoorbeeld sociale media en andere openbare bronnen, is Thallium in staat om een gepersonaliseerde spear-phishing-e-mail te maken op een manier die de e-mail geloofwaardig maakt voor het doel. Zoals te zien is in onderstaande voorbeeld van spear-phishing-e-mail, is de inhoud ontworpen om legitiem te lijken, maar bij nader onderzoek blijkt dat Thallium de afzender heeft vervalst door de letters “r” en “n” te combineren om te verschijnen als de eerste letter “m” in “microsoft.com.”
De link in de e-mail leidt de gebruiker door naar een website die de accountgegevens van de gebruiker opvraagt. Door slachtoffers te misleiden om op de frauduleuze links te klikken en hun inloggegevens te verstrekken, kan Thallium zich vervolgens aanmelden bij het account van het slachtoffer. Nadat een slachtofferaccount succesvol is gecompromitteerd, kan Thallium e-mails, contactlijsten, agenda-afspraken en andere interessante zaken in het gecompromitteerde account bekijken. Thallium maakt ook vaak een nieuwe regel voor het doorsturen van e-mail in de accountinstellingen van het slachtoffer. Deze regel voor het doorsturen van e-mail stuurt alle nieuwe e-mails die het slachtoffer heeft ontvangen door naar Thallium-gecontroleerde accounts. Door doorstuurregels te gebruiken, kan Thallium de e-mail blijven ontvangen die door het slachtoffer is ontvangen, zelfs nadat het accountwachtwoord van het slachtoffer is bijgewerkt.
Malware
Thallium richt zich niet alleen op gebruikersreferenties, maar gebruikt ook malware om systemen in gevaar te brengen en gegevens te stelen. Eenmaal geïnstalleerd op de computer van een slachtoffer, exfiltreert deze malware informatie ervan, blijft deze aanwezig en wacht op verdere instructies. De Thallium-hackers hebben bekende malware gebruikt genaamd “BabyShark” en “KimJongRAT.”
Dit is de vierde nationale activiteitengroep waartegen Microsoft soortgelijke juridische stappen heeft ondernomen om een kwaadaardige domeininfrastructuur neer te halen. Eerdere verstoringen waren gericht op Barium vanuit China, Strontium vanuit Rusland en Phosphorus vanuit Iran.
We raden u aan om two-factorauthenticatie in te schakelen voor alle zakelijke en persoonlijke e-mailaccounts, VPN verbindingen, etc.
Voorkom phishing binnen uw bedrijf met webprotection van Sophos