Le groupe d'analyse des menaces (TAG) de Google a publié un rapport détaillant ses efforts pour lutter contre un acteur menaçant nord-coréen appelé APT43, ses cibles et ses méthodes, et expliquant les efforts qu'il a déployés pour lutter contre le groupe de piratage. TAG fait référence à APT43 comme ARCHIPEL dans le rapport. Le groupe est actif depuis 2012 et cible des personnes ayant une expertise dans les questions politiques nord-coréennes telles que les sanctions, les droits de l'homme et la non-prolifération, selon le rapport.
Ceux-ci peuvent être des responsables gouvernementaux, des militaires, des membres de divers groupes de réflexion, des politiciens, des scientifiques et des chercheurs. La plupart d'entre eux ont la nationalité sud-coréenne, mais ce n'est pas une exception.
ARCHIPELAGO attaque les comptes de ces personnes à la fois dans Google et dans d'autres services. Ils utilisent diverses tactiques pour voler les informations d'identification des utilisateurs et installer des rançongiciels, des portes dérobées ou d'autres logiciels malveillants sur les terminaux ciblés.
Ils utilisent principalement le phishing. Parfois, la correspondance peut durer des jours, car l'attaquant prétend être une personne ou une organisation familière et renforce la confiance pour livrer avec succès le logiciel malveillant via une pièce jointe à un e-mail.
Google a déclaré qu'il combattait cela en ajoutant des sites Web et des domaines malveillants récemment découverts à la navigation sécurisée, en informant les utilisateurs qu'ils ont été ciblés et en les invitant à s'inscrire au programme de protection avancée de Google.
Les pirates ont également tenté de placer des fichiers PDF sécurisés contenant des liens vers des logiciels malveillants sur Google Drive, pensant qu'ainsi ils pourraient éviter la détection par les programmes antivirus. Ils ont également encodé des charges utiles malveillantes dans les noms de fichiers placés sur Drive, alors que les fichiers eux-mêmes étaient vides.
"Google a pris des mesures pour arrêter l'utilisation des noms de fichiers ARCHIPELAGO sur Drive pour encoder les charges utiles et les commandes des logiciels malveillants. Le groupe a depuis cessé d'utiliser cette technique sur Drive", a déclaré Google.
Enfin, les attaquants ont créé des extensions Chrome malveillantes qui leur ont permis de voler les identifiants de connexion et les cookies du navigateur. Cela a incité Google à améliorer la sécurité dans l'écosystème des extensions Chrome, ce qui oblige les attaquants à d'abord compromettre un point de terminaison, puis à écraser les paramètres et les paramètres de sécurité de Chrome pour exécuter des extensions malveillantes.
Intéressant aussi :