微软今天宣布,它成功删除了朝鲜政府支持的黑客组织先前使用的50个Web域。
这家操作系统制造商表示,这50个域被公司一直追踪的Thallium(也称为APT37)组织用来发起网络攻击。
微软表示,数字犯罪部门(DCU)和微软威胁情报中心(MSTIC)团队已经监视Thallium数月,跟踪该组织的活动并绘制其基础架构。
12月18日,这家位于雷德蒙德的公司在弗吉尼亚州法院对Thallium提起诉讼。圣诞节过后不久,美国当局批准了微软的法院命令,允许这家科技公司夺取朝鲜黑客一直在攻击中使用的50多个域。
这些域用于发送网络钓鱼电子邮件和托管网络钓鱼页面。hall黑客会诱使这些站点上的受害者,窃取其凭据,然后获得对内部网络的访问权限,并从这些内部站点进一步升级攻击。
微软表示,除了追踪T的进攻行动外,它还追踪被感染的主机。
客户公司副总裁汤姆·伯特(Tom Burt)今天说: “根据受害者的信息,目标包括政府雇员,智囊团,大学工作人员,致力于世界和平与人权的组织成员以及从事核扩散问题的个人。” Microsoft的安全与信任。
伯特补充说:“大多数目标都设在美国以及日本和韩国。”
微软高管表示,在许多此类攻击中,最终目标是使恶意软件感染受害者,例如两个远程访问木马(RAT)KimJongRAT和BabyShark。
伯特说:“一旦将恶意软件安装在受害者的计算机上,它就会从其中窃取信息,保持持久存在并等待进一步的指示。”
微软并不是第一次使用法院命令来阻止外国政府支持的黑客组织的运作。
微软对一家名为Strontium(APT28,Fancy Bear)的俄罗斯组织使用了12次此方法,成功撤下了84个域- 上一次是在2018年8月。
它还使用法院命令扣押了与伊朗有联系的网络间谍组织Phosphorus(APT35)运营的99个域。
微软还利用法院命令破坏了中国政府支持的黑客组织Barium的运营,尽管有关这些行为的细节有些微。