Die Threat Analysis Group (TAG) von Google hat einen Bericht veröffentlicht, in dem ihre Bemühungen zur Bekämpfung eines nordkoreanischen Bedrohungsakteurs namens APT43, ihre Ziele und Methoden detailliert beschrieben und die Bemühungen erläutert werden, die sie zur Bekämpfung der Hackergruppe unternommen hat. TAG bezieht sich in dem Bericht auf APT43 als ARCHIPELAGO. Die Gruppe ist seit 2012 aktiv und richtet sich an Personen mit Expertise in Fragen der nordkoreanischen Politik wie Sanktionen, Menschenrechte und Nichtverbreitung, heißt es in dem Bericht.
Dies können Regierungsbeamte, Militärs, Mitglieder verschiedener Denkfabriken, Politiker, Wissenschaftler und Forscher sein. Die meisten von ihnen haben die südkoreanische Staatsbürgerschaft, aber dies ist keine Ausnahme.
ARCHIPELAGO greift die Konten dieser Personen sowohl bei Google als auch bei anderen Diensten an. Sie verwenden verschiedene Taktiken, um Benutzeranmeldeinformationen zu stehlen und Ransomware, Backdoors oder andere Malware auf Zielendpunkten zu installieren.
Meistens verwenden sie Phishing. Manchmal kann die Korrespondenz tagelang dauern, da der Angreifer vorgibt, eine vertraute Person oder Organisation zu sein, und Vertrauen aufbaut, um die Malware erfolgreich über einen E-Mail-Anhang zu übermitteln.
Google bekämpft dies, indem es neu entdeckte bösartige Websites und Domains zu Safe Browsing hinzufügt, Benutzer benachrichtigt, dass sie angegriffen wurden, und sie einlädt, sich für das Google Advanced Protection Program anzumelden.
Hacker haben auch versucht, sichere PDF-Dateien mit Links zu Malware auf Google Drive zu platzieren, in der Annahme, dass sie so der Erkennung durch Antivirenprogramme entgehen könnten. Sie codierten auch bösartige Payloads in Dateinamen, die auf Drive platziert wurden, während die Dateien selbst leer waren.
„Google hat Schritte unternommen, um die Verwendung von ARCHIPELAGO-Dateinamen auf Drive zu stoppen, um Malware-Payloads und -Befehle zu codieren. Die Gruppe hat seitdem aufgehört, diese Technik auf Drive zu verwenden", sagte Google.
Schließlich erstellten Angreifer bösartige Chrome-Erweiterungen, mit denen sie Anmeldeinformationen und Browser-Cookies stehlen konnten. Dies veranlasste Google, die Sicherheit im Chrome-Erweiterungsökosystem zu verbessern, was dazu führte, dass Angreifer nun zuerst einen Endpunkt kompromittieren und dann die Einstellungen und Sicherheitseinstellungen von Chrome überschreiben müssen, um bösartige Erweiterungen auszuführen.
Auch interessant: