Threat Analysis Group (TAG) ของ Google ได้เผยแพร่รายงานที่ให้รายละเอียดเกี่ยวกับความพยายามในการต่อสู้กับผู้คุกคามชาวเกาหลีเหนือที่เรียกว่า APT43 เป้าหมายและเทคนิค ตลอดจนความพยายามในการปราบปรามกลุ่มแฮ็กนี้
ในรายงาน TAG อ้างถึง APT43 ว่า ARCHIPEL กลุ่มนี้ดำเนินกิจการมาตั้งแต่ปี 2012 โดยมุ่งเป้าไปที่ผู้ที่มีความเชี่ยวชาญในประเด็นทางการเมืองของเกาหลีเหนือ เช่น การคว่ำบาตร สิทธิมนุษยชน และการไม่แพร่ขยายอาวุธ เขากล่าว
คนเหล่านี้อาจเป็นบุคลากรทางทหารและภาครัฐ สมาชิกของคลังความคิด ผู้กำหนดนโยบาย นักวิชาการ และนักวิจัยต่างๆ โดยส่วนใหญ่แล้วพวกเขาจะมีสัญชาติเกาหลีใต้ แต่ก็ไม่ได้จำกัดอยู่เพียงเท่านั้น
แจ้งผู้เสียหาย
ARCHIPELAGO จะกำหนดเป้าหมายไปที่บัญชี Google และบัญชีบุคคลที่สามของบุคคลเหล่านี้ มันใช้กลยุทธ์ที่แตกต่างกัน โดยมีเป้าหมายเพื่อขโมยข้อมูลประจำตัวของผู้ใช้และติดตั้งตัวขโมยข้อมูล แบ็คดอร์หรือมัลแวร์อื่น ๆ บนอุปกรณ์เป้าหมาย
พวกเขาพยายามฟิชชิ่งเป็นส่วนใหญ่ บางครั้งอีเมลกลับไปกลับมาอาจคงอยู่นานหลายวันเนื่องจากผู้คุกคามปลอมตัว (เปิดในแท็บใหม่) บุคคลหรือองค์กรที่คุ้นเคย และสร้างความไว้วางใจเพียงพอที่จะสามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบในอีเมลได้สำเร็จ
Google กล่าวว่าจะต่อสู้กับสิ่งนี้ด้วยการเพิ่มเว็บไซต์และโดเมนที่เป็นอันตรายที่เพิ่งค้นพบลงใน Safe Browsing โดยส่งการแจ้งเตือนไปยังผู้คนเพื่อแจ้งให้ทราบว่าพวกเขากำลังถูกโจมตี และกระตุ้นให้พวกเขาสมัครใช้โปรแกรมการป้องกันขั้นสูงของ Google
แฮกเกอร์จะพยายามโฮสต์ไฟล์ PDF ที่ไม่เป็นอันตรายพร้อมลิงก์ไปยังมัลแวร์บน Google Drive โดยคิดว่าด้วยวิธีนี้พวกเขาสามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัสได้ นอกจากนี้ยังจะเข้ารหัสเพย์โหลดที่เป็นอันตรายเป็นชื่อไฟล์ที่โฮสต์บนไดรฟ์ ในขณะที่ตัวไฟล์จะว่างเปล่า
“Google ได้ดำเนินการตามขั้นตอนเพื่อยุติการใช้ชื่อไฟล์ไดรฟ์ของ ARCHIPELAGO เพื่อเข้ารหัสเพย์โหลดและคำสั่งของมัลแวร์ กลุ่มนี้ได้หยุดใช้เทคนิคนี้ในไดรฟ์แล้ว” Google กล่าว
ในที่สุด พวกเขาสร้างส่วนขยาย Chrome ที่เป็นอันตรายซึ่งอนุญาตให้ขโมยข้อมูลรับรองการเข้าสู่ระบบและคุกกี้จากเบราว์เซอร์ สิ่งนี้ทำให้ Google ปรับปรุงการรักษาความปลอดภัยในระบบนิเวศส่วนขยายของ Chrome โดยบังคับให้ผู้คุกคามต้องประนีประนอมอุปกรณ์ปลายทางก่อน จากนั้นจึงลบล้างการตั้งค่า Chrome และการตั้งค่าที่ปลอดภัยสำหรับการเรียกใช้มัลแวร์