谷歌的威脅分析小組 (TAG) 發布了一份報告,詳細介紹了其打擊名為 APT43 的朝鮮威脅行為者的努力、目標和方法,並解釋了其為打擊黑客組織所做的努力。 TAG 在報告中將 APT43 稱為 ARCHIPELAGO。 報告稱,該組織自 2012 年以來一直活躍,目標是在製裁、人權和防擴散等朝鮮政策問題上具有專業知識的個人。
這些人可以是政府官員、軍人、各種智囊團的成員、政治家、科學家和研究人員。 他們中的大多數人擁有韓國國籍,但這也不例外。
ARCHIPELAGO 攻擊這些人在 Google 和其他服務中的帳戶。 他們使用各種策略竊取用戶憑據並在目標端點上安裝勒索軟件、後門或其他惡意軟件。
他們大多使用網絡釣魚。 有時通信可能會持續數天,因為攻擊者會偽裝成熟悉的人或組織並建立信任以通過電子郵件附件成功傳播惡意軟件。
谷歌表示,它正在通過將新發現的惡意網站和域添加到安全瀏覽、通知用戶他們已成為攻擊目標並邀請他們註冊谷歌高級保護計劃來打擊這種情況。
黑客還試圖將帶有惡意軟件鏈接的安全 PDF 文件放在 Google Drive 上,認為這樣他們就能夠避免被防病毒程序檢測到。 他們還在 Drive 上的文件名中編碼了惡意負載,而文件本身是空的。
“谷歌已採取措施停止在雲端硬盤上使用 ARCHIPELAGO 文件名來編碼惡意軟件有效負載和命令。 該組織已經停止在 Drive 上使用這種技術,”谷歌說。
最後,攻擊者創建了惡意的 Chrome 擴展程序,允許他們竊取登錄憑據和瀏覽器 cookie。 這促使谷歌提高 Chrome 擴展生態系統的安全性,導致攻擊者現在必須首先破壞端點,然後覆蓋 Chrome 的設置和安全設置才能運行惡意擴展。
也很有趣: