از کار انداختن 50 دامنه تحت کنترل APT37 توسط مایکروسافت

شرکت مایکروسافت کنترل 50 دامنه مورد استفاده یک گروه از مجرمان سایبری کره شمالی به نام (Thallium (APT37 را تحت کنترل خود گرفت.

این شرکت اعلام کرده است که توانسته با موفقیت، 50 دامنه‌ای که پیش از این در اختیار یک گروه هکری تحت پشتیبانی دولت کره شمالی قرار داشت را مسدود کند. گروه Thallium (که با نام APT37 هم شناخته می‌شود) از این 50 دامنه به منظور اجرای حملات سایبری استفاده می‌کرد.

تیم‌هایی از واحد جرایم دیجیتال و مرکز اطلاعات تهدیدهای سایبری شرکت مایکروسافت، در چند ماه گذشته گروه Thallium را تحت نظارت داشته و فعالیت‌های آن را دنبال می­ کرد تا بتواند نقش ه­ایی از زیرساخت‌های مورد استفاده این گروه را ترسیم کند.

هجدهم دسامبر سال گذشته میلادی، این شرکت در یکی از دادگاه‌های ایالت ویرجینیا پرونده‌ای را بر ضد گروه Thallium تشکیل داد. بلافاصله پس از کریسمس، مقامات آمریکایی مجوزی برای شرکت مایکروسافت ارسال کرده و به آن اجازه دادند 50 دامنه‌ای که هکرهای کره‌ای از آن ها برای اجرای حملات سایبری خود استفاده می‌کردند را تصاحب کند.

از این دامنه‌ها برای ارسال ایمیل‌های فیشینگ و میزبانی از صفحات فیشینگ استفاده می‌شده است. هکرهای Thallium در این سایت‌ها کاربران را فریب داده، اطلاعات ورود به حساب ­های کاربری آن ها را دریافت کرده و سپس به شبکه‌های داخلی (شرکت‌ها و سازمان‌ها) دسترسی پیدا می‌کردند تا بتوانند از این طریق حملات اصلی خود را اجرا کنند.

یکی از ایمیل‌های فیشینگ ارسال شده توسط Thallium
یکی از ایمیل‌های فیشینگ ارسال شده توسط Thallium

 

 

مایکروسافت اعلام کرد که علاوه بر دنبال کردن عملیات Thallium، میزبان‌های آلوده را نیز تحت نظارت دارد. Tom Burt مدیر بخش امنیت و اعتماد مشتریان شرکت مایکروسافت گفته است که: «بر اساس اطلاعات قربانیان، اهداف این حملات شامل کارمندان دولت، اندیشکده‌ها، کارمندان دانشگاه‌ها، اعضای سازمان‌های متمرکز بر حقوق بشر و صلح جهانی و همچنین افرادی بودند که در زمینه مقابله با تکثیر سلاح‌های هسته‌ای فعالیت می‌کنند». وی افزود: «بیشتر اهداف آن ها آمریکایی، ژاپنی و همچنین از کره جنوبی بودند».

در بسیاری از حملات این گروه، هدف اصلی آلوده کردن قربانیان به بدافزارهایی همچون KimJongRAT و BabyShark بوده است که دو تروجان دسترسی از راه دور به شمار می ­روند. Burt همچنین گفته است که: «این بدافزارها پس از نصب بر روی رایانه فرد قربانی، اطلاعات را از آن استخراج کرده و حضوری دائم و پیوسته در آن دارند و منتظر دستورالعمل‌های بعدی می‌مانند».

این اولین­ باری نیست که شرکت مایکروسافت از حکم دادگاه برای مقابله با گروه‌های هکری تحت حمایت دولت‌های خارجی استفاده می‌کند. این شرکت پیش از این نیز 12 بار چنین اقدامی را بر ضد یک گروه هک روسی به نام Strontium انجام داده و با موفقیت توانسته است 84 دامنه تحت کنترل آن ها را از کار بیاندازد. آخرین­ بار این اقدام، در آگوست 2018 انجام شده بود.

مایکروسافت همچنین پیش از این هم از حکم دادگاه برای تصاحب 99 دامنه تحت کنترل گروه (Phosphorus (APT35 استفاده کرده است. علاوه بر این موارد، این شرکت از حکم دادگاه برای مختل کردن عملیات گروه هکر چینی Barium استفاده کرد؛ هر چند اطلاعات در دسترس درباره این اقدام­ ها بسیار کم است.

خروج از نسخه موبایل