Grupul de analiză a amenințărilor Google (TAG) a lansat un raport care detaliază eforturile sale de a combate un actor de amenințare nord-coreean numit APT43, țintele și metodele sale și explică eforturile pe care le-a depus pentru a combate grupul de hacking. TAG se referă la APT43 ca ARHIPELAGO în raport. Grupul este activ din 2012 și vizează persoane cu experiență în probleme de politică nord-coreeană, cum ar fi sancțiunile, drepturile omului și neproliferarea, se arată în raport.
Aceștia pot fi oficiali guvernamentali, militari, membri ai diferitelor grupuri de gândire, politicieni, oameni de știință și cercetători. Majoritatea dintre ei au cetățenie sud-coreeană, dar aceasta nu este o excepție.
ARCHIPELAGO atacă conturile acestor persoane atât în Google, cât și în alte servicii. Ei folosesc diverse tactici pentru a fura acreditările utilizatorului și pentru a instala ransomware, uși din spate sau alte programe malware pe punctele finale vizate.
În mare parte folosesc phishing. Uneori, corespondența poate dura zile întregi, deoarece atacatorul se pretinde a fi o persoană sau o organizație familiară și construiește încredere pentru a livra cu succes malware-ul printr-un atașament de e-mail.
Google a spus că combate acest lucru prin adăugarea de site-uri web și domenii rău intenționate recent descoperite la Navigarea sigură, notificând utilizatorii că au fost vizați și invitându-i să se înscrie la Programul Google Advanced Protection.
Hackerii au încercat, de asemenea, să plaseze fișiere PDF securizate cu link-uri către programe malware pe Google Drive, crezând că astfel vor putea evita detectarea de către programele antivirus. De asemenea, au codificat încărcături utile rău intenționate în nume de fișiere plasate pe Drive, în timp ce fișierele în sine erau goale.
„Google a luat măsuri pentru a opri utilizarea numelor de fișiere ARCHIPELAGO pe Drive pentru a codifica sarcinile și comenzile de malware. De atunci, grupul a încetat să mai folosească această tehnică pe Drive”, a spus Google.
În cele din urmă, atacatorii au creat extensii Chrome rău intenționate care le-au permis să fure acreditările de conectare și cookie-urile de browser. Acest lucru a determinat Google să îmbunătățească securitatea în ecosistemul extensiilor Chrome, ceea ce a dus la atacatorii să fie nevoiți să compromită mai întâi un punct final și apoi să suprascrie setările și setările de securitate ale Chrome pentru a rula extensii rău intenționate.
Interesant de asemenea: