微软本周宣布破获朝鲜黑客组织Thallium,接管了其50个域名,也是它继中国、俄罗斯和伊朗行动以来第4个成功案例。
Thallium是活动许久的朝鲜黑客,它创建了网站、域名和联网计算机网络,用于对用户发动攻击、感染计算机。他们攻击对象包括政府部门员工、智库、大学职员、人权组织成员、或是和核分裂技术有关的人员,主要位于美国、日本和韩国。
Thallium攻击手法主要包括精准网络钓鱼和植入恶意程序。首先他们会利用在社群网站、公开网站上搜集数据发送精准钓鱼邮件,以诱使用户连到假网站输入帐密,并利用这些帐密登录用户邮件或门户网站,访问邮件、行程表,并在邮件设置转送规则,之后就能掌握受害者的信件及工作通信内容。其次他们也会在受害者计算机植入恶意软件,像是BabyShark或KimJongRAT以窃取数据。
这项行动在12月27日美国法院解密文件后得以公开。微软在获得维吉尼亚州地方法院下令允许行动,成功接管50个Thallium控制的域名。在此之前,微软还分别破获中国的Barium、俄罗的Strontium及伊朗的Phosphorus组织,一共接管了数百个域名。伊朗、朝鲜与俄罗斯也是微软认为国家级黑客最猖獗的地区。
依据Thallium攻击手法的研究,微软建议用户所有公司和私人账号都激活双重验证,小心不要点入来路不明的网站和文件连接,同时留意邮件是否被设了转送的规则。