De Threat Analysis Group (TAG) van Google heeft een rapport uitgebracht waarin de inspanningen worden beschreven om de Noord-Koreaanse dreigingsactor APT43 te bestrijden, de doelen en methoden, en de inspanningen die het heeft geleverd om de hackgroep te bestrijden. TAG verwijst naar APT43 als ARCHIPELAGO in het rapport. De groep is actief sinds 2012 en richt zich op personen met expertise in Noord-Koreaanse beleidskwesties zoals sancties, mensenrechten en non-proliferatie, aldus het rapport.
Dit kunnen overheidsfunctionarissen, militairen, leden van verschillende denktanks, politici, wetenschappers en onderzoekers zijn. De meesten van hen hebben het Zuid-Koreaanse staatsburgerschap, maar dit is geen uitzondering.
ARCHIPELAGO valt de accounts van deze mensen zowel in Google als in andere diensten aan. Ze gebruiken verschillende tactieken om gebruikersreferenties te stelen en ransomware, backdoors of andere malware op gerichte eindpunten te installeren.
Meestal gebruiken ze phishing. Soms kan de correspondentie dagen duren omdat de aanvaller zich voordoet als een bekende persoon of organisatie en vertrouwen opbouwt om de malware met succes via een e-mailbijlage af te leveren.
Google zei dat het dit bestrijdt door nieuw ontdekte kwaadaardige websites en domeinen aan Safe Browsing toe te voegen, gebruikers te laten weten dat ze het doelwit zijn en hen uit te nodigen zich aan te melden voor het Google Advanced Protection Program.
Hackers hebben ook geprobeerd om beveiligde pdf-bestanden met links naar malware op Google Drive te plaatsen, in de overtuiging dat ze op deze manier detectie door antivirusprogramma's zouden kunnen voorkomen. Ze codeerden ook kwaadaardige payloads in bestandsnamen die op Drive waren geplaatst, terwijl de bestanden zelf leeg waren.
“Google heeft stappen ondernomen om het gebruik van ARCHIPELAGO-bestandsnamen op Drive te stoppen om malware-payloads en -opdrachten te coderen. De groep is sindsdien gestopt met het gebruik van deze techniek op Drive", aldus Google.
Ten slotte creëerden aanvallers kwaadaardige Chrome-extensies waarmee ze inloggegevens en browsercookies konden stelen. Dit was voor Google aanleiding om de beveiliging van het Chrome-extensie-ecosysteem te verbeteren, waardoor aanvallers nu eerst een eindpunt moeten compromitteren en vervolgens de instellingen en beveiligingsinstellingen van Chrome moeten overschrijven om kwaadaardige extensies uit te voeren.
Ook interessant: