Microsoft neemt domeinennamen van ‘Noord-Koreaanse’ hackergroep over

Microsoft heeft vijftig domeinennamen die gelinkt worden aan een Noord-Koreaanse hackerscollectief overgenomen. Tegen de hackergroep met de bijnaam Thallium is actie ondernomen.

De domeinennamen, die misbruikt werden voor phishingcampagnes, leken op die van Microsoft. Zo was er het domein ‘ rnicrosoft’, dat met het gebruikte font dicht in de buurt kwam van de ‘m’  door de ‘r’ en de ‘n’ te combineren. In de verstuurde mails werden gebruikers vervolgens wijsgemaakt dat er vanaf elders in de wereld werd geprobeerd in te loggen en dat de gebruiker zijn of haar inloggegevens moest bekijken.

In de blogpost van Microsoft wordt ook uitgelegd dat het venijn van Thallium daar niet zozeer in zat, maar eerder in het vernuft van wat daarna kwam. Gebruikers die hun wachtwoorden veranderden op het moment dat ze constateerden gehackt te zijn, dachten weer veilig te zijn.

Zonder te weten dat Thallium in de korte periode dat er op het account gekeken kon worden, een mail-forward was toegevoegd. Zo konden de hackers ook na het veranderen van het wachtwoord, alle binnenkomende mails lezen. Daarnaast zou Thallium in sommige gevallen ook de malware BabyShark en KimJongRAT op computers hebben gekregen.

Niet de eerste keer

Eerder werd al actie ondernomen tegen Barium (China), Strontium (Rusland) en Phosporus (Iran). Ook in die gevallen werden er domeinnamen in beslag genomen. Microsoft sluit af door gebruikers aan te raden extra beveiligingsmaatregelen te activeren, zoals two-factor authenticatie.