Google の脅威分析グループ (TAG) は、APT43 と呼ばれる北朝鮮の脅威アクターと戦うための取り組み、その標的と方法、およびハッキング グループと戦うために行った取り組みを説明するレポートをリリースしました。 TAG はレポートで APT43 を ARCHIPELAGO と呼んでいます。 このグループは 2012 年から活動しており、制裁、人権、不拡散などの北朝鮮の政策問題に専門知識を持つ個人を対象としている、と報告書は述べている。
政府関係者、軍人、さまざまなシンクタンクのメンバー、政治家、科学者、研究者などです。 彼らのほとんどは韓国の市民権を持っていますが、これも例外ではありません。
ARCHIPELAGO は、Google と他のサービスの両方で、これらの人々のアカウントを攻撃します。 彼らはさまざまな戦術を使用して、ユーザーの資格情報を盗み、標的のエンドポイントにランサムウェア、バックドア、またはその他のマルウェアをインストールします。
ほとんどの場合、彼らはフィッシングを使用します。 攻撃者がよく知っている人や組織になりすまして信頼を築き、電子メールの添付ファイルを介してマルウェアを配信することで、通信が数日間続くこともあります。
Google は、新たに発見された悪意のある Web サイトとドメインをセーフ ブラウジングに追加し、ユーザーに標的にされたことを通知し、Google Advanced Protection Program へのサインアップを勧めることで、これに対処していると述べています。
ハッカーはまた、アンチウイルス プログラムによる検出を回避できると信じて、マルウェアへのリンクを含む安全な PDF ファイルを Google ドライブに配置しようとしました。 また、ドライブに配置されたファイル名に悪意のあるペイロードをエンコードしましたが、ファイル自体は空でした。
「Google は、ドライブで ARCHIPELAGO ファイル名を使用してマルウェアのペイロードとコマンドをエンコードすることを停止するための措置を講じました。 その後、このグループはドライブでこの手法を使用することをやめました」と Google は述べています。
最後に、攻撃者は悪意のある Chrome 拡張機能を作成し、ログイン資格情報とブラウザーの Cookie を盗むことができました。 これにより、Google は Chrome 拡張機能エコシステムのセキュリティを改善するようになりました。その結果、攻撃者は最初にエンドポイントを侵害し、次に Chrome の設定とセキュリティ設定を上書きして悪意のある拡張機能を実行する必要があります。
また興味深い: