Googles Threat Analysis Group (TAG) har släppt en rapport som beskriver sina ansträngningar för att bekämpa en nordkoreansk hotaktör som heter APT43, dess mål och metoder, och förklarar de ansträngningar de har gjort för att bekämpa hackergruppen. TAG refererar till APT43 som ARCHIPELAGO i rapporten. Gruppen har varit aktiv sedan 2012 och riktar sig till individer med expertis i nordkoreanska politiska frågor som sanktioner, mänskliga rättigheter och icke-spridning, heter det i rapporten.
Det kan vara myndighetspersoner, militärer, medlemmar i olika tankesmedjor, politiker, vetenskapsmän och forskare. De flesta av dem har sydkoreanskt medborgarskap, men detta är inget undantag.
ARCHIPELAGO attackerar dessa personers konton både i Google och i andra tjänster. De använder olika taktiker för att stjäla användaruppgifter och installera ransomware, bakdörrar eller annan skadlig programvara på riktade slutpunkter.
Oftast använder de nätfiske. Ibland kan korrespondensen pågå i flera dagar då angriparen utger sig för att vara en bekant person eller organisation och bygger förtroende för att framgångsrikt leverera skadlig programvara via en e-postbilaga.
Google sa att det bekämpar detta genom att lägga till nyupptäckta skadliga webbplatser och domäner till Safe Browsing, meddela användare att de har blivit riktade och bjuda in dem att registrera sig för Google Advanced Protection Program.
Hackare har också försökt placera säkra PDF-filer med länkar till skadlig programvara på Google Drive, i tron att de på så sätt skulle kunna undvika upptäckt av antivirusprogram. De kodade också skadliga nyttolaster i filnamn placerade på Drive, medan själva filerna var tomma.
"Google har vidtagit åtgärder för att stoppa användningen av ARCHIPELAGO-filnamn på Drive för att koda nyttolaster och kommandon för skadlig programvara. Gruppen har sedan dess slutat använda den här tekniken på Drive, säger Google.
Slutligen skapade angripare skadliga Chrome-tillägg som gjorde det möjligt för dem att stjäla inloggningsuppgifter och webbläsarcookies. Detta fick Google att förbättra säkerheten i Chrome-tilläggets ekosystem, vilket resulterade i att angripare nu först måste kompromissa med en slutpunkt och sedan skriva över Chromes inställningar och säkerhetsinställningar för att köra skadliga tillägg.
Också intressant: