微软起诉朝鲜黑客组织Thallium
2019-12-31 16:05:58 Author: www.freebuf.com(查看原文) 阅读量:241 收藏

微软起诉了一个网络间谍组织Thallium,该组织与朝鲜关系密切。据12月27日收到的起诉书表明,该组织通过鱼叉式网络钓鱼攻击侵入其客户的账户和网络,以窃取敏感信息。

North_Korea.png

“为管理和指挥Thallium,被告已在网上成立运营一个由网站、域和计算机组成的网络,他们有特定目标,利用该网络破坏客户的网络账户,感染其设备,并从其中窃取敏感信息。”

该诉讼由微软于12月18日向美国弗吉尼亚州东区地方法院提起,由彭博社法律杂志的Blake Brittain首次报道。

“此次活动的幕后指使人的身份和地理位置尚不得而知,但是安全社区人员认为和朝鲜黑客组织有关。”

微软表示,Thallium的攻击目标不限于公共或者私营行业,政府官员、从事核扩散问题的组织和个人、智库、大学工作人员,维和组织成员、人权组织以及许多其他组织和个人都是他们的目标。”

据Redmond的投诉,朝鲜黑客至少从2010年就开始活跃,通过Gmail、Yahoo和Hotmail等合法服务进行鱼叉式网络钓鱼攻击,以此为人得知。

投诉附录A中列出了Thallium在其攻击中使用的50个域的名单,微软按照法院命令将其删除。

微软客户安全与信任副主任Tom Burt在博客中表示: “我们在弗吉尼亚州东区的美国联邦法院提起针对Thallium的法庭诉讼,法院下达的命令使微软能够控制该组织活动的50个域名。此外,删除之后,这些站点将不再被用来执行攻击。”

STOLEN PENCIL APT组织活动的背后

Netscout的ATLAS安全工程和响应小组(ASERT)还追踪到了朝鲜黑客组织活动之一的STOLEN PENCIL。

根据Netscout的说法,至少从2018年5月起, STOLEN PENCIL APT活动就一直针对学术机构进行鱼叉式网络钓鱼攻击,最终目标是窃取凭据。

基于共享资源,Palo Alto Networks的Unit42还将Thallium的STOLEN PENCIL活动与一种名为BabyShark的恶意软件相关联,且是其鱼叉式网络钓鱼活动的一部分。该活动的重点是从2018年11月开始“收集亚洲东北部国家的安全问题情报”。

Unit42说:“精心制作的鱼叉式网络钓鱼电子邮件和诱饵表明,威胁行为者非常清楚目标,并密切监视相关社区事件以收集最新情报。”

“虽然没有定论,但我们怀疑,BabyShark背后之人可能与KimJongRAT恶意软件家族背后之人有联系,至少与负责STOLEN PENCIL运动的攻击者共享资源。”

KimJongRAT恶意软件样本可以追溯到2010年。BabyShark恶意软件经常作为电子邮件的恶意附件发送给用户。恶意软件将删除带有文件扩展名的文件,然后该文件将发送一个命令,以标出并获取编码脚本,再将编码脚本返回设备。

微软在Thallium投诉中确认了这些关联,并说:“除了窃取用户凭据,Thallium还利用恶意软件,最常见的本土化植入恶意软件为“ BabyShark”和“ KimJongRAT”,用以破坏系统和窃取数据。”

“ Thallium使用误导性域名和微软商标,使受害者单击链接,从而在受害者的计算机上安装其恶意软件。一旦成功,此恶意软件就会从受害者计算机中窃取信息,且长久存在,并等待Thallium的进一步指示。”

1567039296260538.jpg

针对Microsoft客户的攻击

Redmond在7月份也曾提及朝鲜政府赞助的Thallium,该公司表示在过去一年中通知了大约10000名客户,这些客户也是他国的威胁组织的攻击目标。

微软Tom Burt表示:“这些攻击中约有84%是针对我们的企业客户,约16%是针对消费者的个人电子邮件账户。”

伊朗和俄罗斯的APT组织也是攻击微软客户的幕后黑手,包括来自伊朗的Holmium和Mercury等以及来自俄罗斯的Yttrium和Strontium(又名Fancy Bear或APT28),在某些恶意活动中泄露客户信息。

在侦察网络间谍活动的同时,微软检测到针对2016年美国总统大选和最近一次法国总统大选的攻击,俄罗斯Strontium黑客组织也曾盯上2018年美国参议院候选人。

捕获Phosphorus和Fancy Bear的域名

Burt说:“这是微软第四次利用法律手段制裁国家活动组织,旨在拆除恶意域的基础结构设施。这些行动导致了数百个域的删除,保护了数千名受害者,并改善了生态系统的安全性。”

微软威胁情报中心(MSTIC)之前发现了伊朗网络间谍组织为Phosphorus(又名APT35,Charming Kitten或Ajax安全组织),该组织试图获取2700多名客户的账户信息,其中241个账户受到攻击,最终在8月到9月之间获取了其中四个攻击账户。

微软的数字犯罪部门能够通过基础架构域来阻止Phosphorus组织的某些网络攻击。基础架构域是其开展攻击的核心。通过控制其99个域名,Microsoft获取黑客组织的部分业务,并将流量转向,从而收集了有关该黑客组织活动的重要信息。

该公司此前还于2018年8月对Strontium提起了15起类似案件,后来又没收了91个域名。

*参考来源:BLEEPINGCOMPUTER,Sandra1432编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/224261.html
如有侵权请联系:admin#unsafe.sh