Il Threat Analysis Group (TAG) di Google ha pubblicato un rapporto che descrive in dettaglio i suoi sforzi per combattere un attore di minacce nordcoreano chiamato APT43, i suoi obiettivi e metodi e spiega gli sforzi compiuti per combattere il gruppo di hacker. TAG fa riferimento ad APT43 come ARCHIPELAGO nel rapporto. Il gruppo è attivo dal 2012 e si rivolge a persone con esperienza in questioni politiche nordcoreane come sanzioni, diritti umani e non proliferazione, afferma il rapporto.
Questi possono essere funzionari governativi, militari, membri di vari gruppi di riflessione, politici, scienziati e ricercatori. La maggior parte di loro ha la cittadinanza sudcoreana, ma questa non è un'eccezione.
ARCHIPELAGO attacca gli account di queste persone sia su Google che su altri servizi. Usano varie tattiche per rubare le credenziali degli utenti e installare ransomware, backdoor o altri malware su endpoint mirati.
Principalmente usano il phishing. A volte la corrispondenza può durare giorni poiché l'attaccante finge di essere una persona o un'organizzazione familiare e crea fiducia per consegnare con successo il malware tramite un allegato di posta elettronica.
Google ha affermato che sta combattendo questo problema aggiungendo siti Web e domini dannosi appena scoperti a Navigazione sicura, notificando agli utenti che sono stati presi di mira e invitandoli a iscriversi al programma di protezione avanzata di Google.
Gli hacker hanno anche tentato di inserire file PDF protetti con collegamenti a malware su Google Drive, credendo che in questo modo sarebbero stati in grado di evitare il rilevamento da parte dei programmi antivirus. Hanno anche codificato payload dannosi in nomi di file posizionati su Drive, mentre i file stessi erano vuoti.
"Google ha adottato misure per interrompere l'uso dei nomi di file ARCHIPELAGO su Drive per codificare payload e comandi malware. Da allora il gruppo ha smesso di utilizzare questa tecnica su Drive", ha affermato Google.
Infine, gli aggressori hanno creato estensioni di Chrome dannose che hanno consentito loro di rubare credenziali di accesso e cookie del browser. Ciò ha spinto Google a migliorare la sicurezza nell'ecosistema delle estensioni di Chrome, con il risultato che ora gli aggressori devono prima compromettere un endpoint e quindi sovrascrivere le impostazioni e le impostazioni di sicurezza di Chrome per eseguire estensioni dannose.
Interessante anche: