Компания Microsoft получила судебное постановление на конфискацию доменов, используемых киберпреступной группировкой Thallium, которая предположительно связана с правительством Северной Кореи.

В отчёте Microsoft говорится о том, что 50 доменов активно использовались хакерами для проведения фишинговых атак, направленных на кражу учётных данных пользователей и проникновения во внутренние сети разных компаний и организаций. Сообщается, что специалисты Microsoft отслеживают деятельность Thallium и собирают информацию касательно данной группировки. Им удалось выяснить, что в течение нескольких месяцев хакеры формировали и эксплуатировали сеть веб-сайтов, доменов и подключённых к сети Интернет компьютеров.

Исходя из информации о жертвах можно сказать, что группировка нацелена на совершение атак против государственных служащих, аналитических центров, сотрудников университетов, членов разных организаций, занимающихся правовыми вопросами, а также чиновников, работающих в сфере продвижения ядерных программ. Большая часть атак совершалась против людей, проживающих в США, Японии и Южной Корее.

Как и многие другие киберпреступные группировки, Thallium активно использует фишинг в своей деятельности. Предварительно они собирают информацию о жертвах из общедоступных источников. После этого составляется фишинговое письмо, маскирующееся под легитимное послание, которое и получает жертва. К примеру, в одном из случаев хакеры зарегистрировали домен «rnicrosoft.com», чтобы использовать его для рассылки фишинговых писем. В названии объединены буквы «r» и «n», благодаря чему доменное имя становится похоже на «microsoft.com». Если не присматриваться внимательно, то такое письмо вполне может быть воспринято пользователями как легитимное.

Иск Microsoft против Thallium был направлен в федеральный суд штата Вирджиния 18 декабря этого года. Спустя всего несколько дней суд разрешил корпорации взять под контроль 50 доменов, которые использовались хакерами.