微软起诉朝鲜黑客组织Thallium

微软起诉了一个网络间谍组织Thallium，该组织与朝鲜关系密切。据12月27日收到的起诉书表明，该组织通过鱼叉式网络钓鱼攻击侵入其客户的账户和网络，以窃取敏感信息。



“为管理和指挥Thallium，被告已在网上成立运营一个由网站、域和计算机组成的网络，他们有特定目标，利用该网络破坏客户的网络账户，感染其设备，并从其中窃取敏感信息。”

该诉讼由微软于12月18日向美国弗吉尼亚州东区地方法院提起，由彭博社法律杂志的BlakeBrittain首次报道。

“此次活动的幕后指使人的身份和地理位置尚不得而知，但是安全社区人员认为和朝鲜黑客组织有关。”

微软表示，Thallium的攻击目标不限于公共或者私营行业，政府官员、从事核扩散问题的组织和个人、智库、大学工作人员，维和组织成员、人权组织以及许多其他组织和个人都是他们的目标。”

据Redmond的投诉，朝鲜黑客至少从2010年就开始活跃，通过Gmail、Yahoo和Hotmail等合法服务进行鱼叉式网络钓鱼攻击，以此为人得知。

投诉附录A中列出了Thallium在其攻击中使用的50个域的名单，微软按照法院命令将其删除。

微软客户安全与信任副主任TomBurt在博客中表示：“我们在弗吉尼亚州东区的美国联邦法院提起针对Thallium的法庭诉讼，法院下达的命令使微软能够控制该组织活动的50个域名。此外，删除之后，这些站点将不再被用来执行攻击。”
STOLENPENCILAPT组织活动的背后

Netscout的ATLAS安全工程和响应小组（ASERT）还追踪到了朝鲜黑客组织活动之一的STOLENPENCIL。

根据Netscout的说法，至少从2018年5月起，STOLENPENCILAPT活动就一直针对学术机构进行鱼叉式网络钓鱼攻击，最终目标是窃取凭据。

基于共享资源，PaloAltoNetworks的Unit42还将Thallium的STOLENPENCIL活动与一种名为BabyShark的恶意软件相关联，且是其鱼叉式网络钓鱼活动的一部分。该活动的重点是从2018年11月开始“收集亚洲东北部国家的安全问题情报”。

Unit42说：“精心制作的鱼叉式网络钓鱼电子邮件和诱饵表明，威胁行为者非常清楚目标，并密切监视相关社区事件以收集最新情报。”

“虽然没有定论，但我们怀疑，BabyShark背后之人可能与KimJongRAT恶意软件家族背后之人有联系，至少与负责STOLENPENCIL运动的攻击者共享资源。”

KimJongRAT恶意软件样本可以追溯到2010年。BabyShark恶意软件经常作为电子邮件的恶意附件发送给用户。恶意软件将删除带有文件扩展名的文件，然后该文件将发送一个命令，以标出并获取编码脚本，再将编码脚本返回设备。

微软在Thallium投诉中确认了这些关联，并说：“除了窃取用户凭据，Thallium还利用恶意软件，最常见的本土化植入恶意软件为“BabyShark”和“KimJongRAT”，用以破坏系统和窃取数据。”

“Thallium使用误导性域名和微软商标，使受害者单击链接，从而在受害者的计算机上安装其恶意软件。一旦成功，此恶意软件就会从受害者计算机中窃取信息，且长久存在，并等待Thallium的进一步指示。”


针对Microsoft客户的攻击

Redmond在7月份也曾提及朝鲜政府赞助的Thallium，该公司表示在过去一年中通知了大约10000名客户，这些客户也是他国的威胁组织的攻击目标。

微软TomBurt表示：“这些攻击中约有84％是针对我们的企业客户，约16％是针对消费者的个人电子邮件账户。”

伊朗和俄罗斯的APT组织也是攻击微软客户的幕后黑手，包括来自伊朗的Holmium和Mercury等以及来自俄罗斯的Yttrium和Strontium（又名FancyBear或APT28），在某些恶意活动中泄露客户信息。

在侦察网络间谍活动的同时，微软检测到针对2016年美国总统大选和最近一次法国总统大选的攻击，俄罗斯Strontium黑客组织也曾盯上2018年美国参议院候选人。
捕获Phosphorus和FancyBear的域名

Burt说：“这是微软第四次利用法律手段制裁国家活动组织，旨在拆除恶意域的基础结构设施。这些行动导致了数百个域的删除，保护了数千名受害者，并改善了生态系统的安全性。”

微软威胁情报中心（MSTIC）之前发现了伊朗网络间谍组织为Phosphorus（又名APT35，CharmingKitten或Ajax安全组织），该组织试图获取2700多名客户的账户信息，其中241个账户受到攻击，最终在8月到9月之间获取了其中四个攻击账户。

微软的数字犯罪部门能够通过基础架构域来阻止Phosphorus组织的某些网络攻击。基础架构域是其开展攻击的核心。通过控制其99个域名，Microsoft获取黑客组织的部分业务，并将流量转向，从而收集了有关该黑客组织活动的重要信息。

该公司此前还于2018年8月对Strontium提起了15起类似案件，后来又没收了91个域名。