El Grupo de Análisis de Amenazas (TAG) de Google ha publicado un informe que detalla sus esfuerzos para combatir a un actor de amenazas de Corea del Norte llamado APT43, sus objetivos y técnicas, además de explicar los esfuerzos que realizó para tomar medidas enérgicas contra este colectivo de piratas informáticos.
En el informe, TAG se refiere a APT43 como ARCHIPIÉLAGO. El grupo ha estado activo desde 2012, apuntando a personas con experiencia en temas de política de Corea del Norte, como sanciones, derechos humanos y problemas de no proliferación, se dijo.
Estas personas pueden ser personal militar y del gobierno, miembros de varios grupos de expertos, formuladores de políticas, académicos e investigadores. La mayoría de las veces son de nacionalidad surcoreana, pero no es excluyente.
Notificar a las víctimas
ARCHIPELAGO apuntaría a las cuentas de Google y de otros usuarios de estas personas. Implementan diferentes tácticas, todas con el objetivo de robar las credenciales de los usuarios e instalar ladrones de información, puertas traseras u otro malware en los puntos finales de destino.
La mayoría de las veces, intentarían el phishing. A veces, el correo electrónico de ida y vuelta puede durar días, ya que el actor de la amenaza se hace pasar por (se abre en una pestaña nueva) un individuo u organización familiar y establece suficiente confianza para poder entregar malware a través de archivos adjuntos de correo electrónico.
Google dijo que combate esto agregando sitios web y dominios maliciosos recién descubiertos a Navegación segura, enviando alertas a las personas para informarles que están siendo atacados e invitándolos a inscribirse en el Programa de protección avanzada de Google.
Los piratas informáticos también intentarían alojar archivos PDF benignos con enlaces a malware en Google Drive, pensando que de esa manera podrían evadir la detección de los programas antivirus. También codificarían cargas útiles maliciosas en los nombres de los archivos alojados en Drive, mientras que los archivos mismos estarían en blanco.
“Google tomó medidas para interrumpir el uso por parte de ARCHIPELAGO de nombres de archivos de Drive para codificar comandos y cargas útiles de malware. Desde entonces, el grupo ha dejado de usar esta técnica en Drive”, dijo Google.
Finalmente, estaban creando extensiones de Chrome maliciosas que les permitían robar credenciales de inicio de sesión y cookies del navegador. Esto llevó a Google a mejorar la seguridad en el ecosistema de extensiones de Chrome, lo que resultó en que los actores de amenazas ahora primero debían comprometer el punto final y sobrescribir las Preferencias de Chrome y las Preferencias seguras para que las extensiones maliciosas se ejecutaran.