• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Sitios web maliciosos de Thallium Hacking Group rastreados y derribados por Microsoft

  • Los dominios web incautados se utilizaron para enviar correos electrónicos de phishing y alojar páginas de phishing.
  • Las víctimas incluyeron empleados del gobierno, grupos de expertos, miembros del personal de la universidad, miembros de organizaciones relacionadas con los derechos humanos y que trabajaron en temas de proliferación nuclear.

En una importante represión, Microsoft ha anunciado que eliminó con éxito 50 dominios web operados por el grupo de piratería Thallium con sede en Corea del Norte. Estos dominios se usaron para lanzar ataques cibernéticos desde el grupo.

El grupo APT ha estado activo desde al menos 2010 y Microsoft reveló que los piratas informáticos lanzaron phishing utilizando servicios legítimos como Gmail, Yahoo y Hotmail.

¿Cómo fue rastreado?

El fabricante del sistema operativo reveló que la Unidad de Delitos Digitales (DCU) junto con sus equipos del Centro de Inteligencia de Amenazas (MSTIC) han estado monitoreando Thallium durante meses, rastreando sus actividades y mapeando su infraestructura.

Poco después de Navidad, Microsoft había tomado más de 50 dominios con permiso de las autoridades estadounidenses.

Sobre los dominios

Los dominios web incautados se utilizaron para enviar correos electrónicos de phishing y alojar páginas de phishing. El grupo de hackers atraería a las víctimas en estos sitios, robaría sus credenciales y luego obtendría acceso a redes internas.

Las víctimas incluyeron empleados del gobierno, grupos de expertos, miembros del personal de la universidad, miembros de organizaciones relacionadas con los derechos humanos y que trabajaron en temas de proliferación nuclear. La investigación de Microsoft reveló que la mayoría de los objetivos se basaban en los EE. UU., Japón y Corea del Sur.

Propósito

Muchos de estos ataques se llevaron a cabo con el objetivo de infectar a las víctimas con malware como KimJongRAT y BabyShark.

“Una vez instalado en la computadora de la víctima, este malware extrae información de él, mantiene una presencia persistente y espera más instrucciones”, agregó Microsoft, informó ZDNet .

Bloomberg Law ha publicado la lista de 50 dominios utilizados por Thallium en sus campañas de ciberespionaje.

Palabra final

Esta no es la primera vez que Microsoft usa una orden judicial para interrumpir las campañas de ciberespionaje de grupos de piratería respaldados por el gobierno extranjero. En julio de 2017, la compañía había rastreado las campañas realizadas por el infame grupo de piratería APT Fancy Bear.

En marzo de 2019, Microsoft anunció que había tomado el control de 99 dominios utilizados por un grupo APT vinculado a Irán rastreado como Fósforo.