微軟查獲 41 個與“伊朗網絡釣魚圈”相關的域名

微軟已獲得法院命令，以扣押這家Windows巨頭所使用的 41 個域名，該組織稱這是一個伊朗網絡犯罪組織，該組織針對美國、中東和印度的組織開展魚叉式網絡釣魚活動。

微軟數字犯罪部門表示，該團伙被稱為Bohrium，對那些在技術、交通、政府和教育部門工作的人特別感興趣：其成員會假裝是招聘人員，以引誘標記在他們的 PC 上運行惡意軟件。

“Bohrium 演員創建虛假的社交媒體資料，經常冒充招聘人員，”微軟數字犯罪部門總經理 Amy Hogan-Burney 說。“一旦從受害者那里獲得個人信息，Bohrium就會發送帶有鏈接的惡意電子郵件，這些鏈接最終會用惡意軟件感染目標的計算機。”

5月底，弗吉尼亞州東部的一家聯邦地方法院向微軟下達了緊急臨時限制令；這使得該公司能夠通過要求美國域名注冊機構（例如 Verisign 和 Donuts）將域名轉移到微軟的控制之下來拆除Bohrium的基礎設施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond轉移到MarkMonitor，因此似乎扣押已經完成。

根據上周晚些時候公布的法庭文件 [ PDF ] Hogan-Burney ，微軟聲稱不法分子利用網絡域進行計算機欺詐、竊取帳戶用戶的憑據并侵犯微軟的商標：

Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF

— Amy Hogan-Burney (@CyberAmyHB) June 2, 2022

微軟說指出Bohrium不僅在其網絡釣魚活動中濫用這家 IT 巨頭的商標來欺騙人們交出他們的憑據，而且還試圖破壞微軟客戶運行的計算機系統。工作人員還使用這些域來設置命令和控制服務器，以管理安裝在這些計算機上的惡意軟件。

此外，根據法庭文件，Bohrium 還破壞了“受害者計算機和微軟服務器上的微軟應用程序，從而利用它們來監控用戶的活動并從他們那里竊取信息”。

微軟牽頭的行動取消了 ZLoader 僵尸網絡域

微軟跟蹤鍶域以阻止對烏克蘭的攻擊

微軟將下一個 Exchange Server 版本推遲到 2025 年

拆除犯罪團伙基礎設施的法院命令遵循了幾個類似的法律策略，以破壞用于攻擊微軟客戶的網絡。最近，在4月，美國巨人宣布了長達數月的努力，以控制ZLoader犯罪僵尸網絡團伙一直用來傳播遠程控制惡意軟件和編排受感染機器的65個域。

這家科技巨頭的數字犯罪部門從佐治亞州的一名美國聯邦法官那里獲得了一項法院命令，以接管這些域名，然后這些域名被定向到微軟控制的污水坑，因此惡意軟件的策劃者無法利用它們與他們的僵尸網絡進行通信。征用了Windows計算機。

同月，雷德蒙德奪取了由與俄羅斯有關的威脅組織 Strontium（又名 APT28 和 FancyBear）運營的 7 個互聯網域，該組織正在使用該基礎設施針對烏克蘭機構以及美國和歐盟的智囊團，顯然是為了支持俄羅斯入侵其鄰國.

在4月份的扣押之前，微軟曾15次使用此流程接管由Strontium控制的100多個域，該域被認為由俄羅斯外國軍事情報機構 GRU 運營。