Google'ın Tehdit Analiz Grubu (TAG), APT43 adlı Kuzey Koreli bir tehdit aktörüyle mücadele çabalarını, hedeflerini ve yöntemlerini detaylandıran ve bilgisayar korsanlığı grubuyla mücadele etmek için gösterdiği çabaları açıklayan bir rapor yayınladı. TAG, raporda APT43'ü ARCHIPELAGO olarak ifade eder. Raporda, grubun 2012'den beri aktif olduğu ve yaptırımlar, insan hakları ve silahların yayılmasının önlenmesi gibi Kuzey Kore politikası konularında uzmanlığı olan kişileri hedef aldığı belirtildi.
Bunlar hükümet yetkilileri, ordu, çeşitli düşünce kuruluşlarının üyeleri, politikacılar, bilim adamları ve araştırmacılar olabilir. Çoğunun Güney Kore vatandaşlığı var ama bu bir istisna değil.
ARCHIPELAGO, bu kişilerin hem Google'daki hem de diğer hizmetlerdeki hesaplarına saldırıyor. Kullanıcı kimlik bilgilerini çalmak ve hedeflenen uç noktalara fidye yazılımı, arka kapılar veya diğer kötü amaçlı yazılımları yüklemek için çeşitli taktikler kullanırlar.
Çoğunlukla kimlik avı kullanırlar. Saldırgan tanıdık bir kişi veya kuruluş gibi davranıp kötü amaçlı yazılımı bir e-posta eki aracılığıyla başarılı bir şekilde dağıtmak için güven oluşturduğundan, yazışmalar bazen günlerce sürebilir.
Google, yeni keşfedilen kötü amaçlı web sitelerini ve alan adlarını Güvenli Tarama'ya ekleyerek, kullanıcıları hedef alındıklarını bildirerek ve onları Google Gelişmiş Koruma Programı'na kaydolmaya davet ederek bununla mücadele ettiğini söyledi.
Bilgisayar korsanları ayrıca, bu şekilde virüsten koruma programları tarafından tespit edilmekten kaçınabileceklerine inanarak, kötü amaçlı yazılım bağlantılarını içeren güvenli PDF dosyalarını Google Drive'a yerleştirmeye çalıştılar. Ayrıca, dosyaların kendisi boşken, Drive'a yerleştirilen dosya adlarındaki kötü amaçlı yükleri de kodladılar.
"Google, Drive'da kötü amaçlı yazılım yüklerini ve komutlarını kodlamak için ARCHIPELAGO dosya adlarının kullanılmasını durdurmak için adımlar attı. Google, o zamandan beri bu tekniği Drive'da kullanmayı bıraktı" dedi.
Son olarak, saldırganlar, oturum açma kimlik bilgilerini ve tarayıcı çerezlerini çalmalarına izin veren kötü amaçlı Chrome uzantıları oluşturdu. Bu, Google'ın Chrome uzantı ekosistemindeki güvenliği iyileştirmesini sağladı ve saldırganların artık kötü amaçlı uzantıları çalıştırmak için önce bir uç noktayı tehlikeye atması ve ardından Chrome'un ayarlarının ve güvenlik ayarlarının üzerine yazması gerekmesine neden oldu.
Ayrıca ilginç: