北朝鮮のハッカーグループThallium

マイクロソフトが去年末に北朝鮮が関与すると思われるハッカー集団「Thallium」関係の50ドメインをテイクダウンしたと発表していました。

www.sankei.com

米マイクロソフト（ＭＳ）は３０日、北朝鮮と関係があるハッカー集団が不正アクセスで機密情報を盗んでいたと発表した。米国や日本、韓国の政府職員や大学関係者、核拡散問題に取り組む個人が標的になったという。

　ＭＳは米裁判所に訴えを起こし、ハッカー集団が使っていた５０のドメイン（インターネット上の住所）を管理する権限が認められた。

　ハッカー集団は、ＭＳなどを装った偽メールを送って被害者のアカウント情報を盗み、電子メールや連絡先リスト、カレンダーに記入した予定を見ていた。情報を盗むためにマルウエア（悪意のあるソフト）も使われていたという。

（産経新聞記事より引用）

◆キタきつねの所感

対象国が３つと完全に絞られていますので、恐らくマイクロソフトの発表通りに北朝鮮に関係があるハッカーグループの攻撃を止める為に、マイクロソフトが訴えを起こした様です。

日本語の記事は各紙、産経と同程度のボリュームですが、海外記事を読むともう少し”騒いでいて”普段見ている巡回サイト（※私のセキュリティ情報収集法を整理してみた（2020年版） - Fox on Securityを参照下さい）のほとんどが記事を書いてました。日本も対象国となっている事を考えると、もう少し”騒いでも良い”気がしますが、単に影響範囲（誰が被害を受けたのか）が不明なだけなのかも知れません。

一番読みやすかった（正確にはGoogle翻訳が一番しっくりきた）記事を取り上げてみます。
gbhackers.com

Thalliumハッカーグループは、世界中の多くの組織や個人だけでなく、公共部門と民間部門、ビジネスの両方のマイクロソフトの顧客をターゲットにしています。

グループがスピアフィッシング攻撃を仕掛ける被害者を危険にさらすために、彼らはGmail、Yahooなどの評判の良いプロバイダーからのように見えるパーソナライズされたスピアフィッシングメールを作成します。

「疑わしいログインアクティビティが検出された」ことを示すメールがハッカーグループから送信され、メールにはリンクが埋め込まれています。

被害者がリンクをクリックすると、ハッカーグループが制御するドメインに移動し、ログインページのコピーを提示します。

マイクロソフトは、脅威アクターが文字「r」と「n」を組み合わせて「microsoft.com」で「m」として表示するサンプルの詳細を説明しました。

（GBHackers on Security記事より引用）※機械翻訳

マイクロソフトユーザを標的とするハッカーグループだったので、（顧客を守るために）マイクロソフトが地方裁判所（バージニア州）に訴えて、怪しい50ドメインをテイクダウンしたという事の様です。

APT（標的型）攻撃の典型例も説明されています。マイクロソフトの例示（※GBHackers記事より引用）メールサンプル・・・赤字の「ｍ」に見える所が「rn」となっています。

偽ドメインのURL・・・偉そうな事を普段書いている私もひっかかりそうです。（小さな文字表示のモニターやスマホだと判別できない気がします）

被害者がログインページのコピーにログイン情報を提供した場合、タリウムのハッカーグループが被害者のアカウント設定へのアクセスを得ることができ、彼らは電子メール、連絡先リスト、カレンダーの予定や妥協のアカウントへの関心の何かを確認することができ、言ったトム・バートは、マイクロソフトのカスタマーセキュリティ＆トラスト担当コーポレートバイスプレジデント。

また、被害者のメールアカウント設定に自動転送ルールを追加して、被害者が受信したメールのコピーを取得し、すべてのアクティビティを追跡します。

（GBHackers on Security記事より引用）※機械翻訳