Група аналізу загроз Google (TAG) опублікувала звіт, в якому детально описує свої зусилля по боротьбі з північнокорейським суб’єктом загрози під назвою APT43, його цілі та методи, а також пояснює зусилля, які вона доклала для боротьби з цим хакерським угрупованням. У звіті TAG називає APT43 як ARCHIPELAGO. Група діє з 2012 року і націлена на осіб, які мають досвід у питаннях північнокорейської політики, таких як санкції, права людини і нерозповсюдження ядерної зброї, йдеться у звіті.
Це можуть бути урядовці, військові, члени різних аналітичних центрів, політики, науковці та дослідники. Здебільшого вони мають південнокорейське громадянство, але це не є винятком.
ARCHIPELAGO атакує акаунти цих людей як в Google, так і в інших сервісах. Вони застосовують різні тактики з метою викрадення облікових даних користувачів та встановлення на цільові кінцеві точки інфокрадачів, бекдорів або іншого шкідливого програмного забезпечення.
Здебільшого вони використовують фішинг. Іноді переписка може тривати днями, оскільки зловмисник видає себе за знайому особу або організацію і втирається в довіру, щоб успішно доставити шкідливе програмне забезпечення через вкладення в електронному листі.
Компанія Google заявила, що бореться з цим, додаючи нещодавно виявлені шкідливі веб-сайти та домени до Безпечного перегляду, надсилаючи користувачам сповіщення про те, що вони стали мішенню, а також запрошуючи їх зареєструватися в Програмі розширеного захисту Google.
Хакери також намагалися розміщувати безпечні PDF-файли з посиланнями на шкідливе програмне забезпечення на Google Диску, вважаючи, що таким чином їм вдасться уникнути виявлення антивірусними програмами. Вони також кодували шкідливе корисне навантаження в іменах файлів, розміщених на Диску, тоді як самі файли були порожніми.
“Google вжила заходів, щоб припинити використання ARCHIPELAGO імен файлів на Drive для кодування корисного навантаження і команд шкідливого програмного забезпечення. Відтоді група припинила використовувати цю техніку на Drive”, – заявили в Google.
Нарешті, зловмисники створювали шкідливі розширення для Chrome, які дозволяли їм красти облікові дані для входу в систему та файли cookie браузера. Це спонукало Google покращити безпеку в екосистемі розширень Chrome, що призвело до того, що зловмисникам тепер потрібно спочатку скомпрометувати кінцеву точку, а потім перезаписати налаштування Chrome та безпечні налаштування, щоб запустити шкідливі розширення.
Теж цікаво: