Microsoft derruba domínios usados por norte-coreanos

Da Redação
07/01/2020

Segundo a empresa, os domínios estavam sendo usados ​por hackers ​para executar ataques contra principalmente entidades americanas, mas também japonesas e sul-coreanas

hacker-2077138_640.jpg

A Microsoft derrubou dezenas de domínios que se acredita terem sido usados ​​por um grupo de hackers norte-coreano para campanhas de spear phishing e roubo de informações.

A gigante do software obteve ordem judicial após rastrear um grupo autodenominado Thallium (também conhecido como APT37), o que permitiu que ela assumisse o controle de 50 domínios. Segundo a Microsoft, os domínios estavam sendo usados ​​para executar ataques contra principalmente entidades americanas, mas também japonesas e sul-coreanas.

“Essa rede foi usada para atingir vítimas e comprometer suas contas online, infectar seus computadores, comprometer a segurança de suas redes e roubar informações confidenciais”, explicou o vice-presidente de segurança e confiança do cliente da Microsoft, Tom Burt.

Segundo ele, com base nas informações das vítimas, os alvos incluíam funcionários do governo, grupos de reflexão, funcionários de universidades, membros de organizações focadas na paz mundial e direitos humanos e indivíduos que trabalham contra proliferação nuclear.

As vítimas geralmente são atingidas por ataques de spear phishing, usando informações coletadas de fontes públicas para adicionar legitimidade. Clicar nelas levará a vítima a um site falso que solicita logins da conta. Essa estratégia foi projetada para permitir que os atacantes do Thallium acessem e-mails, listas de contatos, compromissos no calendário e qualquer outra coisa de interesse.

O grupo também criou um mecanismo de encaminhamento de e-mail para que possa continuar monitorando as comunicações da vítima, mesmo depois de terem atualizado a senha da conta, explicou Burt. “Além de direcionar as credenciais do usuário, o Thallium também utiliza malware para comprometer os sistemas e roubar dados”, acrescentou.

“Depois de instalado no computador da vítima, esse malware extrai informações, mantém uma presença persistente e aguarda mais instruções. Os agentes de ameaça do tálio utilizaram malware conhecido chamado ‘BabyShark’ e ‘KimJongRAT'”, explicou Burt.

A remoção segue operações semelhantes realizadas pela Microsoft contra grupos que operam na China, Rússia e Irã. Em julho do ano passado, a empresa alegou que havia alertado 10 mil clientes de que haviam sido alvo de ataques de estados-nações nos últimos 12 meses, incluindo centenas de organizações políticas dos EUA.

Compartilhar: