구글의 TAG(Threat Analysis Group)가 APT43이라는 북한의 위협 행위자에 대한 대응 노력과 그 대상 및 방법을 자세히 설명하고 해킹 그룹에 대응하기 위해 기울인 노력을 설명하는 보고서를 발표했습니다. TAG는 보고서에서 APT43을 ARCHIPELAGO로 지칭합니다. 이 단체는 2012년부터 활동해 왔으며 제재, 인권, 비확산과 같은 대북 정책 문제에 전문성을 가진 개인을 대상으로 한다고 보고서는 밝혔다.
이들은 공무원, 군인, 다양한 싱크 탱크의 구성원, 정치인, 과학자 및 연구원이 될 수 있습니다. 그들 대부분은 한국 국적을 가지고 있지만 예외는 아니다.
ARCHIPELAGO는 Google과 다른 서비스 모두에서 이러한 사람들의 계정을 공격합니다. 이들은 다양한 전술을 사용하여 사용자 자격 증명을 훔치고 대상 엔드포인트에 랜섬웨어, 백도어 또는 기타 맬웨어를 설치합니다.
대부분 피싱을 사용합니다. 때로는 공격자가 친숙한 사람이나 조직인 것처럼 가장하고 이메일 첨부 파일을 통해 멀웨어를 성공적으로 전달할 수 있도록 신뢰를 구축하기 때문에 서신이 며칠 동안 지속될 수 있습니다.
구글은 새로 발견된 악성 웹사이트와 도메인을 세이프 브라우징에 추가하고 사용자에게 그들이 표적이 되었음을 알리고 구글 고급 보호 프로그램에 가입하도록 권유함으로써 이를 퇴치하고 있다고 말했습니다.
해커는 또한 Google 드라이브에 맬웨어에 대한 링크가 포함된 안전한 PDF 파일을 배치하려고 시도했습니다. 이렇게 하면 바이러스 백신 프로그램의 탐지를 피할 수 있을 것이라고 믿었습니다. 또한 드라이브에 있는 파일 이름에 악성 페이로드를 인코딩했지만 파일 자체는 비어 있었습니다.
"구글은 멀웨어 페이로드와 명령을 인코딩하기 위해 드라이브에서 ARCHIPELAGO 파일 이름 사용을 중지하는 조치를 취했습니다. 이후 이 그룹은 드라이브에서 이 기술을 사용하는 것을 중단했습니다."라고 Google은 말했습니다.
마지막으로 공격자는 로그인 자격 증명과 브라우저 쿠키를 훔칠 수 있는 악성 Chrome 확장 프로그램을 만들었습니다. 이로 인해 Google은 Chrome 확장 프로그램 생태계의 보안을 개선했으며, 그 결과 공격자는 먼저 엔드포인트를 손상시킨 다음 Chrome의 설정 및 보안 설정을 덮어써서 악성 확장 프로그램을 실행해야 합니다.
또한 흥미로운 점: