Microsoft haalt domeinnamen van Noord-Koreaanse hackers offline

Een reeks domeinnamen die onder beheer stonden van een Noord-Koreaanse hackersgroep genaamd Thallium is door Microsoft offline gehaald. De websites werden misbruikt om cyberaanvallen te faciliteren.

In een blogpost meldt Microsoft dat Microsoft’s Digital Crimes Unit (DCU) en het Microsoft Threat Intelligence Center (MSTIC) informatie in kaart hebben gebracht over Thalium en de activiteiten van de groep hebben gemonitord. Hieruit is een netwerk van websites, domeinnamen en systemen ontdekt dat wordt gebruikt om slachtoffers aan te vallen, online accounts te kraken, systemen te infecteren, netwerken binnen te dringen en gevoelige informatie te stelen.

Onder de slachtoffers van Thalium bevinden zich onder meer ambtenaren, denktanks, universiteitsmedewerkers, mensenrechten- en vredesorganisaties en individuen die aan nucleaire akkoorden werken. De meeste doelwitten zijn gevestigd in de Verenigde Staten, Japan en Zuid-Korea.

Spearphishing

De groep maakt gebruik van spearphishing. De aanvallers verzamelen via onder meer social media, bedrijfswebsites en andere publieke bronnen naar informatie over slachtoffers. Zij krijgen vervolgens een op maat gemaakte phishingmail voorgeschoteld die zeer geloofwaardig overkomt om de kans te vergroten dat slachtoffers in de val lopen.

Wie op de link klikt wordt doorverwezen naar een website waar de gebruiker wordt gevraagd in te loggen. Dit geeft de aanvallers toegang tot hun account, waarna Thalium e-mails, contactgegevens, afspraken en andere relevante data verzameld van het account. Ook wordt in het e-mailaccount van het slachtoffer een rule aangemaakt zodat alle toekomstige mail automatisch wordt doorgestuurd naar de aanvallers.

Malware

Ook zet Thalium malware in om systemen te compromitteren en data te stelen. Eenmaal geïnstalleerd extraheert deze malware data, verbergt zich op het systeem en wacht op instructies van zijn makers. Thalium maakt gebruik van twee bekende malwarevarianten genaamd 'BabyShark' en 'KimJongRAT'.

Het is de vierde keer dat Microsoft actie onderneemt tegen domeinnamen van een hackersgroep met banden met een overheid. Eerder werden ook activiteiten van het Chinese Barium, Russische Strontium en Iranese Phosphorus aangepakt. Meer informatie is hier te vinden.