Beberapa hari lalu, Microsoft mengumumkan bahwa mereka berhasil mengambil alih 50 Web Domain yang sebelumnya digunakan oleh pemerintah Korea Utara yang didukung oleh kelompok hacker.
Microsoft mengatakan bahwa 50 Domain digunakan untuk meluncurkan serangan cyber oleh kelompok yang dilacak dan disebut Thallium. Selain itu Microsoft juga mengatakan bahwa Team dari Digital Crimes Unit (DCU) dan the Microsoft Threat Intelligence Center (MSTIC), sudah melakukan monitoring kelompok tersebut selama sebulan, yang diantaranya perihal tracking group activities, dan memetakan infrastrukturnya.
Sekitar tanggal 18 Desember, Microsoft mengajukan gugatan terhadap Thallium di sebuah pengadilan Virginia. Tak lama setelah Natal, otoritas AS memberikan perintah pengadilan kepada Microsoft, yang memungkinkan perusahaan teknologi ini untuk mengambil alih 50 domain yang hacker Korea Utara telah gunakan sebagai bagian dari serangan mereka.
Sejauh ini domain digunakan untuk mengirim email phishing dan meng-host halaman phishing. Thallium akan memikat korban di situs tersebut, mencuri identitasnya, dan kemudian mendapatkan akses ke jaringan internal, dari mana mereka akan meningkat serangan mereka lebih jauh.
Microsoft juga mengatakan bahwa selain melacak operasi ofensif Thallium, ia juga melacak host yang terinfeksi.
“Based on victim information, the targets included government employees, think tanks, university staff members, members of organizations focused on world peace and human rights, and individuals that work on nuclear proliferation issues,” kata Tom Burt, Corporate Vice President of Customer Security & Trust at Microsoft.
“Most targets were based in the U.S., as well as Japan and South Korea,” tambah Burt.
Microsoft exec mengatakan bahwa dalam banyak serangan ini, memiliki tujuan akhir untuk menginfeksi korban dengan malware, seperti Kimjongrat dan babyshark, dua Remote Access Trojans (RATs)
“Once installed on a victim’s computer, this malware exfiltrates information from it, maintains a persistent presence and waits for further instructions,” kata Burt.
Bagi yang belum tahu, ini bukan pertama kalinya Microsoft menggunakan perintah pengadilan untuk menghalangi operasi asing yang didukung kelompok hacker. Sebelumnya Microsoft menggunakan pendekatan seperti ini, 12 kali terhadap kelompok Rusia yang dikenal sebagai Strontium (APT28, Fancy Bear), yang mana berhasil mengambil alih 84 domain. Via Microsoft., Selain itu hal ini juga sama dengan perebutan 99 domain yang dioperasikan oleh fosfor (APT35), terkait Cyber Spionase Iran.
Bagaimana menurutmu? komen dibawah guys.
Via : ZDNet
