Гуглова група за анализу претњи (ТАГ) објавила је извештај у којем су детаљно описани напори у борби против севернокорејског актера претњи по имену АПТ43, његове мете и методе, и објашњени напори које је уложио у борбу против хакерске групе. ТАГ се у извештају односи на АПТ43 као АРХИПЕЛАГО. Група је активна од 2012. године и циља на појединце са експертизом у питањима политике Северне Кореје као што су санкције, људска права и непролиферација, наводи се у извештају.
То могу бити државни службеници, војска, чланови различитих истраживачких центара, политичари, научници и истраживачи. Већина њих има јужнокорејско држављанство, али ово није изузетак.
АРЦХИПЕЛАГО напада налоге ових људи и у Гуглу и у другим сервисима. Они користе различите тактике да украду корисничке акредитиве и инсталирају рансомваре, бацкдоорс или други малвер на циљане крајње тачке.
Углавном користе пхисхинг. Понекад преписка може да траје данима јер се нападач претвара да је позната особа или организација и гради поверење како би успешно испоручио малвер путем прилога е-поште.
Гугл је саопштио да се бори против овога тако што додаје новооткривене злонамерне веб-сајтове и домене у Безбедно прегледање, обавештава кориснике да су циљани и позива их да се пријаве за Гоогле програм напредне заштите.
Хакери су такође покушали да поставе безбедне ПДФ датотеке са линковима до малвера на Гоогле диск, верујући да ће на тај начин моћи да избегну откривање од стране антивирусних програма. Такође су кодирали злонамерне садржаје у називима датотека постављеним на Диск, док су сами фајлови били празни.
„Гоогле је предузео кораке да заустави употребу назива датотека АРЦХИПЕЛАГО на Диску за кодирање корисних садржаја и команди злонамерног софтвера. Група је од тада престала да користи ову технику на Диску“, рекао је Гугл.
Коначно, нападачи су креирали злонамерне Цхроме екстензије које су им омогућиле да украду акредитиве за пријаву и колачиће претраживача. Ово је подстакло Гоогле да побољша безбедност у екосистему Цхроме екстензија, што је довело до тога да нападачи сада морају прво да компромитују крајњу тачку, а затим да замене Цхроме-ова подешавања и безбедносна подешавања да би покренули злонамерна проширења.
Такође занимљиво: