微軟破獲北韓駭客組織網路，為其第4例

微軟本周宣佈破獲北韓駭客組織Thallium，接管了其50個網域，也是它繼中國、俄羅斯和伊朗行動以來第4個成功案例。

Thallium是活動許久的北韓駭客，它建立了網站、網域和連網電腦網路，用於對用戶發動攻擊、感染電腦。他們攻擊對象包括政府部門員工、智庫、大學職員、人權組織成員、或是和核分裂技術有關的人員，主要位於美國、日本和南韓。

Thallium攻擊手法主要包括精準網釣和植入惡意程式。首先他們會利用在社群網站、公開網站上蒐集資料發送精準釣魚郵件，以誘使用戶連到假網站輸入帳密，並利用這些帳密登入用戶郵件或入口網站，存取郵件、行事曆，並在郵件設定轉送規則，之後就能掌握受害者的信件及工作通訊內容。其次他們也會在受害者電腦植入惡意軟體，像是BabyShark或KimJongRAT以竊取資料。

這項行動在12月27日美國法院解密文件後得以公開。微軟在獲得維吉尼亞州地方法院下令允許行動，成功接管50個Thallium控制的網域。在此之前，微軟還分別破獲中國的Barium、俄羅的Strontium及伊朗的Phosphorus組織，一共接管了數百個網域。伊朗、北韓與俄羅斯也是微軟認為國家級駭客最猖獗的地區。

依據Thallium攻擊手法的研究，微軟建議用戶所有公司和私人帳號都啟用雙因素驗證，小心不要點入來路不明的網站和檔案連結，同時留意郵件是否被設了轉送的規則。