O Threat Analysis Group (TAG) do Google divulgou um relatório detalhando seus esforços para combater uma ameaça norte-coreana chamada APT43, seus alvos e métodos, e explicando os esforços que fez para combater o grupo de hackers. TAG refere-se a APT43 como ARCHIPELAGO no relatório. O grupo está ativo desde 2012 e tem como alvo indivíduos com experiência em questões políticas norte-coreanas, como sanções, direitos humanos e não proliferação, disse o relatório.
Podem ser funcionários do governo, militares, membros de vários think tanks, políticos, cientistas e pesquisadores. A maioria deles tem cidadania sul-coreana, mas isso não é exceção.
O ARCHIPELAGO ataca as contas dessas pessoas tanto no Google quanto em outros serviços. Eles usam várias táticas para roubar as credenciais do usuário e instalar ransomware, backdoors ou outro malware nos endpoints visados.
Principalmente eles usam phishing. Às vezes, a correspondência pode durar dias, pois o invasor finge ser uma pessoa ou organização familiar e cria confiança para entregar o malware com sucesso por meio de um anexo de e-mail.
O Google disse que está combatendo isso adicionando sites e domínios maliciosos recém-descobertos ao Safe Browsing, notificando os usuários de que eles foram visados e convidando-os a se inscrever no Programa de Proteção Avançada do Google.
Os hackers também tentaram colocar arquivos PDF seguros com links para malware no Google Drive, acreditando que dessa forma eles seriam capazes de evitar a detecção por programas antivírus. Eles também codificaram cargas maliciosas em nomes de arquivos colocados no Drive, enquanto os próprios arquivos estavam vazios.
“O Google tomou medidas para interromper o uso de nomes de arquivo ARCHIPELAGO no Drive para codificar cargas e comandos de malware. Desde então, o grupo parou de usar essa técnica no Drive", disse o Google.
Por fim, os invasores criaram extensões maliciosas do Chrome que permitiam o roubo de credenciais de login e cookies do navegador. Isso levou o Google a melhorar a segurança no ecossistema de extensões do Chrome, fazendo com que os invasores agora tenham que primeiro comprometer um endpoint e, em seguida, substituir as configurações e configurações de segurança do Chrome para executar extensões maliciosas.
Também interessante: