กลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google ได้เผยแพร่รายงานที่มีรายละเอียดความพยายามในการต่อสู้กับผู้คุกคามชาวเกาหลีเหนือที่เรียกว่า APT43 เป้าหมายและวิธีการ และอธิบายถึงความพยายามในการต่อสู้กับกลุ่มแฮ็ก TAG อ้างถึง APT43 เป็น ARCHIPELAGO ในรายงาน กลุ่มดังกล่าวมีบทบาทมาตั้งแต่ปี 2012 และกำหนดเป้าหมายบุคคลที่มีความเชี่ยวชาญในประเด็นนโยบายของเกาหลีเหนือ เช่น การคว่ำบาตร สิทธิมนุษยชน และการไม่แพร่ขยายศาสนา รายงานระบุ
บุคคลเหล่านี้อาจเป็นเจ้าหน้าที่ของรัฐ ทหาร สมาชิกของคลังสมองต่างๆ นักการเมือง นักวิทยาศาสตร์ และนักวิจัย ส่วนใหญ่มีสัญชาติเกาหลีใต้ แต่นี่ไม่ใช่ข้อยกเว้น
ARCHIPELAGO โจมตีบัญชีของบุคคลเหล่านี้ทั้งใน Google และบริการอื่นๆ พวกเขาใช้กลยุทธ์ต่างๆ เพื่อขโมยข้อมูลประจำตัวของผู้ใช้และติดตั้งแรนซัมแวร์ แบ็คดอร์ หรือมัลแวร์อื่นๆ บนปลายทางที่เป็นเป้าหมาย
ส่วนใหญ่ใช้ฟิชชิ่ง บางครั้งการติดต่ออาจกินเวลานานหลายวัน เนื่องจากผู้โจมตีแสร้งทำเป็นบุคคลหรือองค์กรที่คุ้นเคย และสร้างความไว้วางใจให้ส่งมัลแวร์ผ่านไฟล์แนบอีเมลได้สำเร็จ
Google กล่าวว่ากำลังต่อสู้กับสิ่งนี้โดยการเพิ่มเว็บไซต์และโดเมนที่เป็นอันตรายที่เพิ่งค้นพบใน Safe Browsing แจ้งให้ผู้ใช้ทราบว่าพวกเขาตกเป็นเป้าหมาย และเชิญชวนให้ลงชื่อสมัครใช้โปรแกรมการปกป้องขั้นสูงของ Google
แฮ็กเกอร์ยังพยายามวางไฟล์ PDF ที่ปลอดภัยซึ่งมีลิงก์ไปยังมัลแวร์บน Google ไดรฟ์ โดยเชื่อว่าด้วยวิธีนี้พวกเขาจะสามารถหลีกเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัสได้ พวกเขายังเข้ารหัสเพย์โหลดที่เป็นอันตรายในชื่อไฟล์ที่อยู่ในไดรฟ์ โดยที่ตัวไฟล์ว่างเปล่า
“Google ได้ดำเนินการเพื่อหยุดการใช้ชื่อไฟล์ ARCHIPELAGO บนไดรฟ์เพื่อเข้ารหัสเพย์โหลดและคำสั่งของมัลแวร์ กลุ่มนี้ได้หยุดใช้เทคนิคนี้บนไดรฟ์แล้ว" Google กล่าว
ในที่สุด ผู้โจมตีได้สร้างส่วนขยาย Chrome ที่เป็นอันตรายซึ่งทำให้พวกเขาสามารถขโมยข้อมูลรับรองการเข้าสู่ระบบและคุกกี้ของเบราว์เซอร์ได้ สิ่งนี้กระตุ้นให้ Google ปรับปรุงการรักษาความปลอดภัยในระบบนิเวศส่วนขยายของ Chrome ส่งผลให้ผู้โจมตีต้องประนีประนอมอุปกรณ์ปลายทางก่อน แล้วจึงเขียนทับการตั้งค่าและการตั้งค่าความปลอดภัยของ Chrome เพื่อเรียกใช้ส่วนขยายที่เป็นอันตราย
ที่น่าสนใจเช่นกัน: