谷歌的威胁分析小组 (TAG) 发布了一份报告,详细介绍了其打击名为 APT43 的朝鲜威胁行为者的努力、目标和方法,并解释了其为打击黑客组织所做的努力。 TAG 在报告中将 APT43 称为 ARCHIPELAGO。 报告称,该组织自 2012 年以来一直活跃,目标是在制裁、人权和防扩散等朝鲜政策问题上具有专业知识的个人。
这些人可以是政府官员、军人、各种智囊团的成员、政治家、科学家和研究人员。 他们中的大多数人拥有韩国国籍,但这也不例外。
ARCHIPELAGO 攻击这些人在 Google 和其他服务中的帐户。 他们使用各种策略窃取用户凭据并在目标端点上安装勒索软件、后门或其他恶意软件。
他们大多使用网络钓鱼。 有时通信可能会持续数天,因为攻击者会伪装成熟悉的人或组织,并建立信任以通过电子邮件附件成功传播恶意软件。
谷歌表示,它正在通过将新发现的恶意网站和域添加到安全浏览、通知用户他们已成为攻击目标并邀请他们注册谷歌高级保护计划来打击这种情况。
黑客还试图将带有恶意软件链接的安全 PDF 文件放在 Google Drive 上,认为这样他们就能够避免被防病毒程序检测到。 他们还在 Drive 上的文件名中编码了恶意负载,而文件本身是空的。
“谷歌已采取措施停止在云端硬盘上使用 ARCHIPELAGO 文件名来编码恶意软件有效负载和命令。 该组织已经停止在 Drive 上使用这种技术,”谷歌说。
最后,攻击者创建了恶意的 Chrome 扩展程序,允许他们窃取登录凭据和浏览器 cookie。 这促使谷歌提高 Chrome 扩展生态系统的安全性,导致攻击者现在必须首先破坏端点,然后覆盖 Chrome 的设置和安全设置才能运行恶意扩展。
也很有趣: