Microsoft a récemment annoncé avoir saisi la justice pour récupérer le contrôle de noms de domaines contrôlés par le groupe Thallium, un groupe d’attaquants soupçonné d’être affilié à la Corée du Nord.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Ces noms de domaines avaient recours à des substitutions de caractères pour ressembler à des domaines légitimes de Microsoft. Un des domaines utilisés dans le cadre d’attaques de Spear Phishing (phishing ciblé) remplaçait par exemple le m de Microsoft par rn, donnant ainsi rnicrosoft.com
.
D’après Microsoft, Thallium opère de la façon suivante :
- une phase de renseignement permet d’obtenir des informations sur les cibles potentielles;
- des emails de spear phishing sont envoyés avec un lien vers une page récoltant les identifiants des cibles;
- une règle de transfert d’emails est ajoutée pour que le groupe continue d’avoir accès aux emails de la cible même après un changement de mot de passe;
- bien que Microsoft n’ait pas communiqué davantage sur le vecteur d’infection, le groupe déploie parfois des malwares nommés
BabyShark
etKimJongRAT
sur les postes des cibles.
L’action en justice entreprise par Microsoft a permis à la société de prendre le contrôle des domaines utilisés par Thallium et d’endiguer leur campagne. Il s’agirait de la quatrième action de ce type, Microsoft ayant par le passé récupéré des centaines de domaines utilisés par les groupes Barium (Chine), Strontium (Russie) et Phosphorus (Iran).
Selon Microsoft, il est important que les acteurs de la cybersécurité soient transparents pour permettre un effort commun de sécurisation d’Internet.
Références
Microsoft takes court action against fourth nation-state cybercrime group