
“为管理和指挥Thallium,被告已在网上成立运营一个由网站、域和计算机组成的网络,他们有特定目标,利用该网络破坏客户的网络账户,感染其设备,并从其中窃取敏感信息。”
该诉讼由微软于12月18日向美国弗吉尼亚州东区地方法院提起,由彭博社法律杂志的BlakeBrittain首次报道。
“此次活动的幕后指使人的身份和地理位置尚不得而知,但是安全社区人员认为和朝鲜黑客组织有关。”
微软表示,Thallium的攻击目标不限于公共或者私营行业,政府官员、从事核扩散问题的组织和个人、智库、大学工作人员,维和组织成员、人权组织以及许多其他组织和个人都是他们的目标。”
据Redmond的投诉,朝鲜黑客至少从2010年就开始活跃,通过Gmail、Yahoo和Hotmail等合法服务进行鱼叉式网络钓鱼攻击,以此为人得知。
投诉附录A中列出了Thallium在其攻击中使用的50个域的名单,微软按照法院命令将其删除。
微软客户安全与信任副主任TomBurt在博客中表示:“我们在弗吉尼亚州东区的美国联邦法院提起针对Thallium的法庭诉讼,法院下达的命令使微软能够控制该组织活动的50个域名。此外,删除之后,这些站点将不再被用来执行攻击。”
STOLENPENCILAPT组织活动的背后
Netscout的ATLAS安全工程和响应小组(ASERT)还追踪到了朝鲜黑客组织活动之一的STOLENPENCIL。
根据Netscout的说法,至少从2018年5月起,STOLENPENCILAPT活动就一直针对学术机构进行鱼叉式网络钓鱼攻击,最终目标是窃取凭据。
基于共享资源,PaloAltoNetworks的Unit42还将Thallium的STOLENPENCIL活动与一种名为BabyShark的恶意软件相关联,且是其鱼叉式网络钓鱼活动的一部分。该活动的重点是从2018年11月开始“收集亚洲东北部国家的安全问题情报”。
Unit42说:“精心制作的鱼叉式网络钓鱼电子邮件和诱饵表明,威胁行为者非常清楚目标,并密切监视相关社区事件以收集最新情报。”
“虽然没有定论,但我们怀疑,BabyShark背后之人可能与KimJongRAT恶意软件家族背后之人有联系,至少与负责STOLENPENCIL运动的攻击者共享资源。”
KimJongRAT恶意软件样本可以追溯到2010年。BabyShark恶意软件经常作为电子邮件的恶意附件发送给用户。恶意软件将删除带有文件扩展名的文件,然后该文件将发送一个命令,以标出并获取编码脚本,再将编码脚本返回设备。
微软在Thallium投诉中确认了这些关联,并说:“除了窃取用户凭据,Thallium还利用恶意软件,最常见的本土化植入恶意软件为“BabyShark”和“KimJongRAT”,用以破坏系统和窃取数据。”
“Thallium使用误导性域名和微软商标,使受害者单击链接,从而在受害者的计算机上安装其恶意软件。一旦成功,此恶意软件就会从受害者计算机中窃取信息,且长久存在,并等待Thallium的进一步指示。”

针对Microsoft客户的攻击
Redmond在7月份也曾提及朝鲜政府赞助的Thallium,该公司表示在过去一年中通知了大约10000名客户,这些客户也是他国的威胁组织的攻击目标。
微软TomBurt表示:“这些攻击中约有84%是针对我们的企业客户,约16%是针对消费者的个人电子邮件账户。”
伊朗和俄罗斯的APT组织也是攻击微软客户的幕后黑手,包括来自伊朗的Holmium和Mercury等以及来自俄罗斯的Yttrium和Strontium(又名FancyBear或APT28),在某些恶意活动中泄露客户信息。
在侦察网络间谍活动的同时,微软检测到针对2016年美国总统大选和最近一次法国总统大选的攻击,俄罗斯Strontium黑客组织也曾盯上2018年美国参议院候选人。
捕获Phosphorus和FancyBear的域名
Burt说:“这是微软第四次利用法律手段制裁国家活动组织,旨在拆除恶意域的基础结构设施。这些行动导致了数百个域的删除,保护了数千名受害者,并改善了生态系统的安全性。”
微软威胁情报中心(MSTIC)之前发现了伊朗网络间谍组织为Phosphorus(又名APT35,CharmingKitten或Ajax安全组织),该组织试图获取2700多名客户的账户信息,其中241个账户受到攻击,最终在8月到9月之间获取了其中四个攻击账户。
微软的数字犯罪部门能够通过基础架构域来阻止Phosphorus组织的某些网络攻击。基础架构域是其开展攻击的核心。通过控制其99个域名,Microsoft获取黑客组织的部分业务,并将流量转向,从而收集了有关该黑客组织活动的重要信息。
该公司此前还于2018年8月对Strontium提起了15起类似案件,后来又没收了91个域名。
猜你喜欢
点击排行



-
年糕长毛了还能吃么
年糕长毛了不能吃,年糕是用糯米做成的糕点,糯米发霉了就好比是我们平常吃的米饭发霉了一样,是不能吃的。这种出现在年糕上颜色呈黄色、绿色、黑色的霉菌被叫做黄曲霉素,黄曲霉素喜欢阴暗、潮湿、温暖的环境,好发于每年的春夏之际。它的毒性是砒霜的68倍,食用黄曲霉素会危害人体的肝脏组织,严重的会导致肝癌甚至死亡。功效作用年糕富含蛋白质、脂肪、碳水化合物、维生素B1、维生素B2、烟酸、钙、铁、磷等。其中磷元素可...
-
货车启动马达抱死怎样解决 货车启动马达抱死是什么原因
1、是强制启动,猛哄油门,只要后轮一动,就没事了。2、是把轮胎拆下来,照着制动鼓拿锤子之类的敲两下,让制动鼓和刹车片的接合面松开就行了。3、轮胎抱死就是制动器(无论是盘式还是毂式)将轮胎加紧,轮胎对于制动器没有相对运动。换句话说,也就是轮胎不转了,汽车就像一块砖头一样在路面滑动。...
-
很有女王范的霸气网名女生 适合女生霸气网名
1、姐从不卖萌 2、姐的风范 3、毒舌女王 4、待菇凉强大定会灭了你 5、嶪战君妃爱 6、老娘你惹不起 7、怎么解释都是敷衍 8、姐的范你学不来 9、我若为后尔等为妃 10、姐让魔鬼崇拜 11、姐独领风骚 12、萌比女神御姐范 13、喊我女王万万岁 14、叫我女王大人 15、叫劳资女爷 16、姐就是女皇 17、三千男友哭成狗 18、孤者为王 19、明珠求暇 20、你若离去巴掌扇去 21、姐不稀罕...
-
远和近赏析 远和近赏析内容
1、【鉴赏一】《远和近》虽只有短短的六句,却容纳了对历史反思的丰富内涵。“远”、“近”是物理距离概念,这是客观存在,有科学的衡量标准。但在情感作用下产生的心理距离却不同,“远”可以变“近”,“近”可以变“远”。诗中用你”“我”“云”心理距离的变换曲折地反映了人与人之间的隔阂、戒备以及诗人对和谐、融洽的理想人际关系的向往、追求。诗中的“你”“我”“云”三个意象都具有一定的象征意义。“你”“我”都生活...
-
吃灶糖的来历 灶糖的简介
1、灶糖是古老的传统名点,既是春节年节食品又是祭祀用品。每年的农历腊月二十三就是中国人常说的小年,这一天的习俗是“送爷”,据说这一天灶王爷要上天述职,所以家家户户会敬献糖瓜(也有人叫灶糖),为的是让灶王爷嘴甜一点,多在玉帝面前说好话,来年给家里一个更红火的光景。2、灶糖即麦芽糖。灶糖的味道甜甜的,略微有点过甜,还有点黏牙。但是,即使这样,每年买灶糖的人也不少。现在,卖灶糖的人已经没有以前那么多了,...