El Grupo de Análisis de Amenazas (TAG) de Google ha publicado un informe que detalla sus esfuerzos para combatir a un actor de amenazas de Corea del Norte llamado APT43, sus objetivos y métodos, y explica los esfuerzos que ha realizado para combatir al grupo de piratería. TAG se refiere a APT43 como ARCHIPIÉLAGO en el informe. El grupo ha estado activo desde 2012 y apunta a personas con experiencia en temas de política de Corea del Norte, como sanciones, derechos humanos y no proliferación, según el informe.
Estos pueden ser funcionarios gubernamentales, militares, miembros de varios grupos de expertos, políticos, científicos e investigadores. La mayoría de ellos tienen ciudadanía surcoreana, pero esta no es una excepción.
ARCHIPELAGO ataca las cuentas de estas personas tanto en Google como en otros servicios. Utilizan varias tácticas para robar las credenciales de los usuarios e instalar ransomware, puertas traseras u otro malware en los puntos finales objetivo.
En su mayoría utilizan phishing. A veces, la correspondencia puede durar días, ya que el atacante finge ser una persona u organización familiar y genera confianza para entregar el malware con éxito a través de un archivo adjunto de correo electrónico.
Google dijo que está combatiendo esto agregando sitios web y dominios maliciosos recién descubiertos a Navegación segura, notificando a los usuarios que han sido atacados e invitándolos a registrarse en el Programa de Protección Avanzada de Google.
Los piratas informáticos también han intentado colocar archivos PDF seguros con enlaces a malware en Google Drive, creyendo que de esta manera podrían evitar la detección por parte de los programas antivirus. También codificaron cargas útiles maliciosas en nombres de archivos colocados en Drive, mientras que los archivos en sí estaban vacíos.
“Google ha tomado medidas para dejar de usar los nombres de archivo de ARCHIPELAGO en Drive para codificar comandos y cargas útiles de malware. Desde entonces, el grupo ha dejado de usar esta técnica en Drive”, dijo Google.
Finalmente, los atacantes crearon extensiones de Chrome maliciosas que les permitieron robar las credenciales de inicio de sesión y las cookies del navegador. Esto llevó a Google a mejorar la seguridad en el ecosistema de extensiones de Chrome, lo que provocó que los atacantes ahora tuvieran que comprometer primero un punto final y luego sobrescribir la configuración de Chrome y la configuración de seguridad para ejecutar extensiones maliciosas.
Aquí te dejamos una lista de noticias que de seguro vas a querer leer: