Die Threat Analysis Group (TAG) von Google hat einen Bericht veröffentlicht, in dem ihre Bemühungen zur Bekämpfung eines nordkoreanischen Bedrohungsakteurs namens APT43, seine Ziele und Techniken detailliert beschrieben und die Anstrengungen erläutert werden, die sie unternommen hat, um gegen dieses Hacker-Kollektiv vorzugehen.
In dem Bericht bezieht sich TAG auf APT43 als ARCHIPELAGO. Die Gruppe ist seit 2012 aktiv und richtet sich an Personen mit Fachwissen in Fragen der nordkoreanischen Politik wie Sanktionen, Menschenrechte und Fragen der Nichtverbreitung, hieß es.
Diese Personen können Regierungs- und Militärangehörige, Mitglieder verschiedener Denkfabriken, politische Entscheidungsträger, Akademiker und Forscher sein. Meistens haben sie die südkoreanische Nationalität, aber das ist nicht exklusiv.
Benachrichtigung der Opfer
ARCHIPELAGO würde sowohl auf die Google- als auch auf die Nicht-Google-Konten dieser Personen abzielen. Sie setzen verschiedene Taktiken ein, alle mit dem Ziel, Benutzeranmeldeinformationen zu stehlen und Infostealer, Backdoors oder andere Malware auf Zielendpunkten zu installieren.
Meistens versuchten sie es mit Phishing. Manchmal konnte das Hin- und Herschicken der E-Mail tagelang andauern, wenn sich der Angreifer ausgab (öffnet in neuem Tab) einer vertrauten Person oder Organisation und baut genügend Vertrauen auf, um Malware erfolgreich über E-Mail-Anhänge versenden zu können.
Google bekämpft dies, indem es neu entdeckte bösartige Websites und Domänen zu Safe Browsing hinzufügt, Personen Benachrichtigungen sendet, um sie darüber zu informieren, dass sie angegriffen wurden, und sie einlädt, sich für das erweiterte Schutzprogramm von Google anzumelden.
Hacker würden auch versuchen, gutartige PDF-Dateien mit Links zu Malware auf Google Drive zu hosten, in der Annahme, dass sie so der Erkennung durch Antivirenprogramme entgehen könnten. Sie kodierten auch schädliche Payloads in den Dateinamen von Dateien, die auf Drive gehostet wurden, während die Dateien selbst leer waren.
„Google hat Maßnahmen ergriffen, um die Verwendung von Drive-Dateinamen durch ARCHIPELAGO zur Codierung von Malware-Payloads und -Befehlen zu stören. Die Gruppe hat seitdem die Verwendung dieser Technik auf Drive eingestellt“, sagte Google.
Schließlich bauten sie bösartige Chrome-Erweiterungen, die es ihnen ermöglichten, Anmeldedaten und Browser-Cookies zu stehlen. Dies veranlasste Google, die Sicherheit im Chrome-Erweiterungsökosystem zu verbessern, was dazu führte, dass Bedrohungsakteure nun zuerst den Endpunkt kompromittieren und die Chrome-Einstellungen und die sichere Einstellung überschreiben mussten, um die schädlichen Erweiterungen auszuführen.