Microsoft elimina 50 dominios operados por hackers norcoreanos


Corea del Norte-según se informa-estola-2b-en-ola-5d4d934316e22d00012a3ac5-1-agosto-13-2019-12-43-01-poster.jpg

Microsoft anunció hoy que eliminó con éxito 50 dominios net utilizados anteriormente por un grupo de piratería respaldado por el gobierno de Corea del Norte.

El fabricante del sistema operativo dijo que los 50 dominios fueron utilizados para lanzar ataques cibernéticos por un grupo que la compañía ha estado rastreando como Thallium (también conocido como APT37)

Microsoft dijo que los equipos de la Unidad de Delitos Digitales (DCU) y el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) han estado monitoreando a Thallium durante meses, rastreando las actividades del grupo y mapeando su infraestructura.

El 18 de diciembre, la compañía con sede en Redmond presentó una demanda contra Thallium en un tribunal de Virginia. Poco después de Navidad, las autoridades estadounidenses otorgaron a Microsoft una orden judicial, permitiendo a la compañía tecnológica tomar más de 50 dominios que los hackers norcoreanos han estado utilizando como parte de sus ataques.

Los dominios se utilizaron para enviar correos electrónicos de phishing y alojar páginas de phishing. Los hackers de talio atraerían a las víctimas en estos sitios, robarían sus credenciales y luego obtendrían acceso a redes internas, desde donde escalarían aún más sus ataques.

thallium-phishing.gif "height =" auto "width =" 370 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2019/12/30/13584794-cc62-4e96-930e-78c9fe8e59d9 /resize/370xauto/dbb5c63fae3266ab7aeffb39e4ef9fc6/thallium-phishing.gif

Uno de los correos electrónicos de phishing enviados por Thallium

Imagen: Microsoft

Microsoft dijo que además de rastrear las operaciones ofensivas de Thallium, también rastreó hosts infectados.

«Según la información de las víctimas, los objetivos incluyeron empleados del gobierno, grupos de expertos, miembros del own de la universidad, miembros de organizaciones centradas en la paz mundial y los derechos humanos, y personas que trabajan en temas de proliferación nuclear». dijo hoy Tom Burt, Vicepresidente Corporativo de Seguridad y Confianza del Cliente en Microsoft.

«La mayoría de los objetivos se basaron en los Estados Unidos, así como en Japón y Corea del Sur», agregó Burt.

El ejecutivo de Microsoft dijo que en muchos de estos ataques, el objetivo last period infectar a las víctimas con malware, como KimJongRAT y BabyShark, dos troyanos de acceso remoto (RAT).

«Una vez instalado en la computadora de la víctima, este malware extrae información de él, mantiene una presencia persistente y espera más instrucciones», dijo Burt.

babyshark.png "src =" https://zdnet1.cbsistatic.com/hub/i/2019/12/30/2aa2b26f-2b64-41ed-8511-bf8db42e706e/babyshark.png

Imagen: Redes de Palo Alto

Esta no es la primera vez que Microsoft usa una orden judicial para obstaculizar las operaciones de grupos de piratería respaldados por el gobierno extranjero.

Microsoft usó este enfoque 12 veces contra un grupo ruso conocido como Strontium (APT28, Fancy Bear), eliminando con éxito 84 dominios: la última vez fue en agosto de 2018.

También utilizó una orden judicial para confiscar 99 dominios operados por Phosphorus (APT35), un equipo de ciberespionaje vinculado a Irán.

Microsoft también utilizó órdenes judiciales para interrumpir las operaciones de Barium, un grupo de piratería respaldado por el gobierno chino, aunque los detalles sobre estas acciones son un poco claros.



Enlace a la noticia original