Ang Threat Analysis Group (TAG) ng Google ay naglabas ng isang ulat na nagdedetalye sa mga pagsusumikap nitong labanan ang isang aktor ng pagbabanta ng North Korea na tinatawag na APT43, ang mga target at pamamaraan nito, at ipinapaliwanag ang mga pagsisikap na ginawa nito upang labanan ang grupo ng pag-hack. Ang TAG ay tumutukoy sa APT43 bilang ARCHIPELAGO sa ulat. Ang grupo ay naging aktibo mula noong 2012 at tina-target ang mga indibidwal na may kadalubhasaan sa mga isyu sa patakaran ng North Korea tulad ng mga parusa, karapatang pantao at hindi paglaganap, sinabi ng ulat.
Ito ay maaaring mga opisyal ng gobyerno, militar, miyembro ng iba't ibang think tank, pulitiko, siyentipiko at mananaliksik. Karamihan sa kanila ay may pagkamamamayan ng South Korea, ngunit hindi ito eksepsiyon.
Inaatake ng ARCHIPELAGO ang mga account ng mga taong ito sa Google at sa iba pang mga serbisyo. Gumagamit sila ng iba't ibang taktika para magnakaw ng mga kredensyal ng user at mag-install ng ransomware, backdoors, o iba pang malware sa mga naka-target na endpoint.
Kadalasan ay gumagamit sila ng phishing. Minsan ang pagsusulatan ay maaaring tumagal nang ilang araw habang ang umaatake ay nagpapanggap na isang pamilyar na tao o organisasyon at bumubuo ng tiwala upang matagumpay na maihatid ang malware sa pamamagitan ng isang email attachment.
Sinabi ng Google na nilalabanan ito sa pamamagitan ng pagdaragdag ng mga bagong tuklas na nakakahamak na website at domain sa Safe Browsing, pag-abiso sa mga user na sila ay na-target, at pag-imbita sa kanila na mag-sign up para sa Google Advanced Protection Program.
Sinubukan din ng mga hacker na maglagay ng mga secure na PDF file na may mga link sa malware sa Google Drive, sa paniniwalang sa ganitong paraan maiiwasan nila ang pagtuklas ng mga anti-virus program. Nag-encode din sila ng mga nakakahamak na payload sa mga filename na inilagay sa Drive, habang ang mga file mismo ay walang laman.
“Gumawa ang Google ng mga hakbang upang ihinto ang paggamit ng mga filename ng ARCHIPELAGO sa Drive upang i-encode ang mga payload at command ng malware. Ang grupo ay huminto na sa paggamit ng diskarteng ito sa Drive," sabi ng Google.
Sa wakas, ang mga umaatake ay lumikha ng mga nakakahamak na extension ng Chrome na nagpapahintulot sa kanila na magnakaw ng mga kredensyal sa pag-log in at cookies ng browser. Nag-udyok ito sa Google na pahusayin ang seguridad sa Chrome extension ecosystem, na nagreresulta sa mga umaatake na kailangan munang ikompromiso ang isang endpoint at pagkatapos ay i-overwrite ang mga setting ng Chrome at mga setting ng seguridad upang magpatakbo ng mga nakakahamak na extension.
Kawili-wili din: