Nhóm phân tích mối đe dọa của Google (TAG) đã phát hành một báo cáo nêu chi tiết những nỗ lực của họ để chống lại một tác nhân đe dọa từ Bắc Triều Tiên có tên là APT43, các mục tiêu và phương pháp của nó, đồng thời giải thích những nỗ lực mà họ đã thực hiện để chống lại nhóm hack. TAG gọi APT43 là ARCHIPELAGO trong báo cáo. Nhóm này đã hoạt động từ năm 2012 và nhắm mục tiêu vào các cá nhân có chuyên môn về các vấn đề chính sách của Triều Tiên như lệnh trừng phạt, nhân quyền và không phổ biến vũ khí hạt nhân, báo cáo cho biết.
Đây có thể là các quan chức chính phủ, quân đội, thành viên của các tổ chức tư vấn khác nhau, chính trị gia, nhà khoa học và nhà nghiên cứu. Hầu hết trong số họ có quốc tịch Hàn Quốc, nhưng đây không phải là trường hợp ngoại lệ.
ARCHIPELAGO tấn công tài khoản của những người này cả trong Google và các dịch vụ khác. Chúng sử dụng nhiều chiến thuật khác nhau để đánh cắp thông tin đăng nhập của người dùng và cài đặt phần mềm tống tiền, cửa hậu hoặc phần mềm độc hại khác trên các điểm cuối được nhắm mục tiêu.
Chủ yếu là họ sử dụng lừa đảo. Đôi khi thư từ có thể kéo dài nhiều ngày vì kẻ tấn công giả vờ là một người hoặc tổ chức quen thuộc và tạo dựng niềm tin để phân phối thành công phần mềm độc hại qua tệp đính kèm email.
Google cho biết họ đang chống lại điều này bằng cách thêm các trang web và miền độc hại mới được phát hiện vào Duyệt web an toàn, thông báo cho người dùng rằng họ đã được nhắm mục tiêu và mời họ đăng ký Chương trình bảo vệ nâng cao của Google.
Tin tặc cũng đã cố gắng đặt các tệp PDF an toàn có liên kết đến phần mềm độc hại trên Google Drive, tin rằng bằng cách này, chúng có thể tránh bị các chương trình chống vi-rút phát hiện. Chúng cũng mã hóa các tải trọng độc hại trong tên tệp được đặt trên Drive, trong khi bản thân các tệp đó trống.
“Google đã thực hiện các bước để ngừng sử dụng tên tệp ARCHIPELAGO trên Drive để mã hóa tải trọng và lệnh của phần mềm độc hại. Nhóm đã ngừng sử dụng kỹ thuật này trên Drive", Google cho biết.
Cuối cùng, những kẻ tấn công đã tạo ra các tiện ích mở rộng Chrome độc hại cho phép chúng đánh cắp thông tin đăng nhập và cookie của trình duyệt. Điều này đã thúc đẩy Google cải thiện tính bảo mật trong hệ sinh thái tiện ích mở rộng của Chrome, dẫn đến việc trước tiên những kẻ tấn công phải thỏa hiệp một điểm cuối, sau đó ghi đè cài đặt và cài đặt bảo mật của Chrome để chạy các tiện ích mở rộng độc hại.
Cũng thú vị: