Xakep #305. Многошаговые SQL-инъекции
Компания Microsoft объявила, что взяла под свой контроль 50 доменов, ранее принадлежавших северокорейской группировке Thallium (APT37) и использовавшихся для ее операций. Microsoft сообщает, что ради этого команды Digital Crimes Unit (DCU) и Microsoft Threat Intelligence Center (MSTIC) в течение нескольких месяцев следили за Thallium и разбирались в ее инфраструктуре.
Собрав достаточно данных, 18 декабря текущего года Microsoft подала иск против Thallium в суд штата Вирджиния. На прошлой неделе власти США официально разрешили Microsoft перехватить контроль более чем над 50 доменами северокорейской хак-группы. Известно, что эти домены использовались для рассылки фишинговых писем и размещения фишинговых страниц (которые мошенническим образом использовали бренды и торговые марки Microsoft). Хакеры заманивали жертв на эти сайты, похищали учетные данные, а затем получали доступ к их внутренним сетям, продолжая развивать атаки.
Также Microsoft сообщает, что помимо отслеживания атак Thallium, специалисты компании отслеживают и изучают зараженные хосты. Так, большинство целей злоумышленников располагались в США, Японии и Южной Корее.
«Судя по данным жертв, в их число входили государственные служащие, аналитические центры, сотрудники университетов, члены правозащитных организаций, а также лица, занимающиеся вопросами распространения ядерного вооружения», — рассказали специалисты.
По данным Microsoft, часто конечной целью атак группировки было заражение жертв такой малварью, как RAT KimJongRAT и BabyShark. После установки на компьютер жертвы вредоносы похищали информацию, закреплялись в системе, а затем ожидали дальнейших инструкций от своих операторов.
Стоит заметить, что это далеко не первый случай, когда Microsoft борется с хакерами через суд. К примеру, в 2018 году эксперты Microsoft прибегли к этой тактике для перехвата контроля над 84 доменами хак-группы APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team.
Фото: Microsoft