被“ rnicrosoft ”冒充，微软怒查抄朝鲜黑客组织的 50 个域名

来源：IT之家  作者：玄隐

近期，美国弗吉尼亚东区地方法院同意允许微软查抄了来自朝鲜的黑客组织 Thallium 的 50 个域名，微软现在对外发布了其最新针对国家级的黑客组织的胜利。

该网络用于瞄准受害者，然后破坏其在线帐户，感染其计算机，攻破网络的安全性并窃取敏感信息。根据受害者的信息，目标包括政府雇员、智囊团、大学工作人员、关注世界和平与人权组织成员以及从事核扩散问题的个人。大多数目标都位于美国、日本和韩国。

Thallium 通常试图通过一种称为鱼叉式网络钓鱼的技术来欺骗受害者。通过从个人所参与的 社交 媒体 与组织公共人员目录以及其他公共资源收集有关目标个人的信息，能够制作个性化的鱼叉式网络钓鱼电子邮件。该内容旨在显示为合法，但仔细查看后发现，Thallium 通过组合字母 "r" 和 "n" 以在 "microsoft.com" 中显示为第一个字母 "m"（即 rn），来欺骗发件人。

电子邮件中的链接将用户重定向到一个请求用户帐户凭据的网站。通过诱骗受害者单击欺诈性链接并提供其凭据，Thallium 便可以登录受害者的帐户。一旦成功破坏了受害帐户，Thallium 可以查看电子邮件、联系人列表、日历约会以及受感染帐户中的其他任何令人感兴趣的内容。Thallium 经常还会在受害者的帐户设置中创建新的邮件转发规则。此邮件转发规则会将受害者收到的所有新电子邮件转发到 Thallium 控制的帐户。通过使用转发规则，即使受害者的帐户密码已更新，Thallium 仍可以继续查看受害者收到的电子邮件。

除了针对用户凭据，Thallium 还利用恶意软件来破坏系统并窃取数据。一旦安装在受害者的计算机上，该恶意软件就会从其中窃取信息，保持存在并等待进一步的指示。Thallium 利用已知的名为 " BabyShark" 和 " KimJongRAT" 的恶意软件威胁行动者。

为了防止此类威胁，微软建议用户对所有企业和个人电子邮件帐户启用双因素身份验证。其次，用户需要学习如何发现网络钓鱼方案并保护自己免受此类攻击。最后，启用有关可疑网站链接和文件的安全警报，并仔细检查你的电子邮件转发规则是否有可疑活动。