Le Threat Analysis Group (TAG) de Google a publié un rapport détaillant ses efforts pour lutter contre un acteur menaçant nord-coréen appelé APT43, ses objectifs et ses techniques, ainsi que ses efforts pour réprimer ce collectif de piratage.
Dans le rapport, TAG fait référence à APT43 en tant qu'ARCHIPEL. Le groupe est actif depuis 2012, ciblant les personnes ayant une expertise sur les questions politiques nord-coréennes telles que les sanctions, les droits de l'homme et les questions de non-prolifération, a-t-il déclaré.
Ces personnes peuvent être des militaires et des membres du gouvernement, des membres de divers groupes de réflexion, des décideurs, des universitaires et des chercheurs. Ils sont la plupart du temps de nationalité sud-coréenne, mais ce n'est pas exclusif.
informer les victimes
ARCHIPELAGO ciblerait les comptes Google et tiers de ces personnes. Il déploie différentes tactiques, toutes dans le but de voler les informations d'identification des utilisateurs et d'installer des voleurs de données, des portes dérobées ou d'autres logiciels malveillants sur des appareils ciblés.
Ils essayaient surtout de hameçonner. Parfois, les échanges d'e-mails peuvent durer des jours, car l'auteur de la menace se fait passer pour (ouvre un nouvel onglet) une personne ou une organisation familière et établit suffisamment de confiance pour pouvoir diffuser avec succès des logiciels malveillants via des pièces jointes.
Google a déclaré qu'il combattait cela en ajoutant des sites Web et des domaines malveillants récemment découverts à la navigation sécurisée, en envoyant des alertes aux personnes les informant qu'elles étaient attaquées et en les invitant à s'inscrire au programme de protection avancée de Google.
Les pirates essaieraient également d'héberger des fichiers PDF bénins avec des liens vers des logiciels malveillants sur Google Drive, pensant qu'ainsi ils pourraient échapper à la détection par les programmes antivirus. Ils encoderaient également des charges utiles malveillantes dans les noms des fichiers hébergés sur Drive, tandis que les fichiers eux-mêmes seraient vides.
"Google a pris des mesures pour mettre fin à l'utilisation par ARCHIPELAGO des noms de fichiers Drive pour encoder les charges utiles et les commandes des logiciels malveillants. Le groupe a depuis cessé d'utiliser cette technique dans Drive", a déclaré Google.
Enfin, ils ont créé des extensions Chrome malveillantes qui leur ont permis de voler les identifiants de connexion et les cookies du navigateur. Cela a incité Google à améliorer la sécurité dans l'écosystème des extensions Chrome, obligeant les acteurs de la menace à d'abord compromettre le point de terminaison, puis à ignorer les préférences de Chrome et la préférence de sécurité pour l'exécution de logiciels malveillants.