Skupina pre analýzu hrozieb (TAG) spoločnosti Google vydala správu, v ktorej podrobne popisuje svoje úsilie v boji proti severokórejskému aktérovi hrozieb s názvom APT43, jeho ciele a metódy a vysvetľuje úsilie, ktoré vynaložila na boj proti hackerskej skupine. TAG v správe označuje APT43 ako ARCHIPELAGO. Skupina je aktívna od roku 2012 a zameriava sa na jednotlivcov s odbornými znalosťami v otázkach severokórejskej politiky, ako sú sankcie, ľudské práva a nešírenie zbraní, uvádza sa v správe.
Môžu to byť vládni úradníci, armáda, členovia rôznych think-tankov, politici, vedci a výskumníci. Väčšina z nich má juhokórejské občianstvo, no nie je to výnimka.
ARCHIPELAGO útočí na účty týchto ľudí v Google aj v iných službách. Používajú rôzne taktiky na odcudzenie používateľských poverení a inštaláciu ransomvéru, backdoorov alebo iného malvéru na cielené koncové body.
Väčšinou využívajú phishing. Niekedy môže korešpondencia trvať niekoľko dní, pretože útočník predstiera, že je známou osobou alebo organizáciou a buduje dôveru, aby úspešne doručil malvér prostredníctvom prílohy e-mailu.
Google uviedol, že proti tomu bojuje pridaním novoobjavených škodlivých webových stránok a domén do Bezpečného prehliadania, upozornením používateľov, že sa stali cieľom, a pozývaním ich, aby sa prihlásili do programu rozšírenej ochrany Google.
Hackeri sa tiež pokúsili umiestniť zabezpečené súbory PDF s odkazmi na malvér na Disk Google, pretože verili, že týmto spôsobom sa vyhnú detekcii antivírusovými programami. Do názvov súborov umiestnených na Disku zakódovali aj škodlivé obsahy, zatiaľ čo samotné súbory boli prázdne.
„Spoločnosť Google podnikla kroky na zastavenie používania názvov súborov ARCHIPELAGO na Disku na kódovanie dát a príkazov škodlivého softvéru. Skupina odvtedy prestala používať túto techniku na Disku,“ uviedol Google.
Nakoniec útočníci vytvorili škodlivé rozšírenia prehliadača Chrome, ktoré im umožnili ukradnúť prihlasovacie údaje a súbory cookie prehliadača. To podnietilo Google zlepšiť zabezpečenie v ekosystéme rozšírení prehliadača Chrome, čo viedlo k tomu, že útočníci teraz musia najprv ohroziť koncový bod a potom prepísať nastavenia a nastavenia zabezpečenia prehliadača Chrome, aby mohli spúšťať škodlivé rozšírenia.
Tiež zaujímavé: