Microsoft obtuvo el control de 50 dominios utilizados por piratas informáticos norcoreanos

Microsoft se retiró, o digamos, obtuvo el control de 50 dominios de un popular grupo de ciberdelincuentes con sede en Corea del Norte en la actualidad. Según una demanda presentada a principios de este mes, Microsoft fue autorizado a tomar medidas para eliminar estos supuestos dominios de un grupo de ciberdelincuentes llamado Talio o APT37.

El 18 de diciembre de este año, una empresa en los Estados Unidos presentó una demanda contra el grupo Thallium en el Distrito del Distrito Este de Virginia, donde el tribunal ahora permitió que Microsoft tomara medidas sobre estos problemas eliminando 50 de los dominios de Thallium que se les había dicho. ser utilizado para actividades maliciosas.

Microsoft obtuvo el control de 50 dominios utilizados por piratas informáticos norcoreanos
Imagen de CoinDesk

Las unidades especiales de la compañía, la Unidad de Delitos Digitales de Microsoft (DCU) y el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), han estado rastreando a este grupo durante mucho tiempo y recolectando información para actuar en consecuencia.

¿Qué hace APT37?

Al igual que otros grupos de ciberdelincuentes, APT37 infecta a las víctimas con su malware y luego roba información principalmente. Más tarde, permanece persistentemente y espera las órdenes del atacante para una mayor exploración.

Después de todo, cada grupo tiene sus propias técnicas distintivas para explorar a las víctimas. Aquí, APT37 depende principalmente de un método llamado Spear Phishing. Al principio, el grupo recopila información sobre el objetivo de varias fuentes, como directorios públicos, redes sociales, bases de datos y otras fuentes públicas.

Más tarde, Thallium creará un correo electrónico de phishing personalizado que convence a la víctima como un remitente real y lo dirige a él. Y cuando la víctima se pone lo suficientemente nerviosa y hace clic en el enlace del cebo, redirige al sitio web malicioso y solicita las credenciales de inicio de sesión.

Thallium luego se conecta a la cuenta de la víctima y verifica todos sus intereses, es decir, correos electrónicos, citas del calendario, contactos, etc. Incluso puede definir una regla de reenvío de correo electrónico para redirigir cualquier correo electrónico futuro recibido por la víctima para que también se transfiera al atacante. Paralelamente, el grupo implementa malware que puede filtrar datos y explorar más. Hasta la fecha, se ha descubierto que el malware popular utilizado por APT37 es BabyShark y KimJongRAT.

Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, dijo que los objetivos activos del grupo son «Think tanks, funcionarios gubernamentales, miembros del equipo universitario, miembros de organizaciones centradas en la paz mundial y los derechos humanos, y personas que trabajan en cuestiones de proliferación nuclear».