示意圖(Photo by The Los Angeles County District Attorney's Office on https://vimeo.com/222209148)

微軟本周宣佈破獲北韓駭客組織Thallium,接管了其50個網域,也是它繼中國、俄羅斯和伊朗行動以來第4個成功案例。

Thallium是活動許久的北韓駭客,它建立了網站、網域和連網電腦網路,用於對用戶發動攻擊、感染電腦。他們攻擊對象包括政府部門員工、智庫、大學職員、人權組織成員、或是和核分裂技術有關的人員,主要位於美國、日本和南韓。

Thallium攻擊手法主要包括精準網釣和植入惡意程式。首先他們會利用在社群網站、公開網站上蒐集資料發送精準釣魚郵件,以誘使用戶連到假網站輸入帳密,並利用這些帳密登入用戶郵件或入口網站,存取郵件、行事曆,並在郵件設定轉送規則,之後就能掌握受害者的信件及工作通訊內容。其次他們也會在受害者電腦植入惡意軟體,像是BabyShark或KimJongRAT以竊取資料。

這項行動在12月27日美國法院解密文件後得以公開。微軟在獲得維吉尼亞州地方法院下令允許行動,成功接管50個Thallium控制的網域。在此之前,微軟還分別破獲中國的Barium、俄羅的Strontium及伊朗的Phosphorus組織,一共接管了數百個網域。伊朗、北韓與俄羅斯也是微軟認為國家級駭客最猖獗的地區

依據Thallium攻擊手法的研究,微軟建議用戶所有公司和私人帳號都啟用雙因素驗證,小心不要點入來路不明的網站和檔案連結,同時留意郵件是否被設了轉送的規則。


Advertisement

更多 iThome相關內容