Microsoft получила контроль над 50 доменами северокорейских хакеров

Сегодня Microsoft сообщила об успешном отключении 50 доменов, которые использовались группой северокорейских хакеров, известной как Thallium или APT37.

Подразделение, занимающееся отслеживанием цифровых преступлений, а также команда Microsoft Threat Intelligence Center (MSTIC) совместно отслеживали группировку Thallium и их жертв на протяжении месяцев. 18 декабря 2019 года компания подала иск на Thallium в Вирджинский суд и вскоре после Рождества правительство США выдало Microsoft разрешение на перехват 50 доменов, использующихся для проведения атак.

Хакеры использовали домены для рассылки фишинговых писем и хостинга поддельных страниц. Злоумышленники завлекали своих жертв на фальшивые страницы, воровали их данные по входу, а затем использовали эту информацию для получения доступа к внутренним сетям и проведения дальнейших атак и взломов. Основные атаки были нацелены на сотрудников государственных учреждений, университетов, а также организаций, занимающихся вопросами прав человека и мира в США, Японии и Южной Корее.

Пример фишинг-письма, которое хакеры рассылали на электронные почты своих жертв.

Хакеры заражали компьютеры пользователей вредоносным программным обеспечением, замаскированным в офисных документах, исполняемых файлах и скриптах. На устройство пользователя устанавливались вирусы KimJongRAT, BabyShark и два трояна для удаленного доступа.

Microsoft уже не первый раз перехватывает домены злоумышленников. В августе 2018 года Софтверный гигант получил контроль над 84 доменами российской группировки Strontium (APT28 и FancyBear), а также 99 доменами иранской  Phosphorus (APT35).

Источник: Microsoft.