微软查获 41 个与“伊朗网络钓鱼圈”相关的域名

微软已获得法院命令，以扣押这家Windows巨头所使用的 41 个域名，该组织称这是一个伊朗网络犯罪组织，该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。

微软数字犯罪部门表示，该团伙被称为Bohrium，对那些在技术、交通、政府和教育部门工作的人特别感兴趣：其成员会假装是招聘人员，以引诱标记在他们的 PC 上运行恶意软件。

“Bohrium 演员创建虚假的社交媒体资料，经常冒充招聘人员，”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息，Bohrium就会发送带有链接的恶意电子邮件，这些链接最终会用恶意软件感染目标的计算机。”

5月底，弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令；这使得该公司能够通过要求美国域名注册机构（例如 Verisign 和 Donuts）将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor，因此似乎扣押已经完成。

根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ，微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标：

Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF

— Amy Hogan-Burney (@CyberAmyHB) June 2, 2022

微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据，而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器，以管理安装在这些计算机上的恶意软件。

此外，根据法庭文件，Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序，从而利用它们来监控用户的活动并从他们那里窃取信息”。

微软牵头的行动取消了 ZLoader 僵尸网络域

微软跟踪锶域以阻止对乌克兰的攻击

微软将下一个 Exchange Server 版本推迟到 2025 年

拆除犯罪团伙基础设施的法院命令遵循了几个类似的法律策略，以破坏用于攻击微软客户的网络。最近，在4月，美国巨人宣布了长达数月的努力，以控制ZLoader犯罪僵尸网络团伙一直用来传播远程控制恶意软件和编排受感染机器的65个域。

这家科技巨头的数字犯罪部门从佐治亚州的一名美国联邦法官那里获得了一项法院命令，以接管这些域名，然后这些域名被定向到微软控制的污水坑，因此恶意软件的策划者无法利用它们与他们的僵尸网络进行通信。征用了Windows计算机。

同月，雷德蒙德夺取了由与俄罗斯有关的威胁组织 Strontium（又名 APT28 和 FancyBear）运营的 7 个互联网域，该组织正在使用该基础设施针对乌克兰机构以及美国和欧盟的智囊团，显然是为了支持俄罗斯入侵其邻国.

在4月份的扣押之前，微软曾15次使用此流程接管由Strontium控制的100多个域，该域被认为由俄罗斯外国军事情报机构 GRU 运营。