Grup Analisis Ancaman Google (TAG) telah merilis laporan yang merinci upayanya untuk memerangi aktor ancaman Korea Utara yang disebut APT43, target dan metodenya, dan menjelaskan upaya yang telah dilakukan untuk memerangi kelompok peretasan. TAG menyebut APT43 sebagai ARCHIPELAGO dalam laporan tersebut. Kelompok tersebut telah aktif sejak 2012 dan menargetkan individu-individu yang memiliki keahlian dalam masalah kebijakan Korea Utara seperti sanksi, hak asasi manusia dan non-proliferasi, kata laporan tersebut.
Ini bisa jadi pejabat pemerintah, militer, anggota berbagai wadah pemikir, politisi, ilmuwan, dan peneliti. Sebagian besar dari mereka memiliki kewarganegaraan Korea Selatan, tetapi ini tidak terkecuali.
ARCHIPELAGO menyerang akun orang-orang ini baik di Google maupun di layanan lain. Mereka menggunakan berbagai taktik untuk mencuri kredensial pengguna dan memasang ransomware, pintu belakang, atau malware lainnya di titik akhir yang ditargetkan.
Kebanyakan mereka menggunakan phishing. Terkadang korespondensi dapat berlangsung selama berhari-hari karena penyerang berpura-pura menjadi orang atau organisasi yang dikenal dan membangun kepercayaan untuk berhasil mengirimkan malware melalui lampiran email.
Google mengatakan sedang memerangi ini dengan menambahkan situs web dan domain berbahaya yang baru ditemukan ke Penjelajahan Aman, memberi tahu pengguna bahwa mereka telah ditargetkan, dan mengundang mereka untuk mendaftar ke Program Perlindungan Lanjutan Google.
Peretas juga telah mencoba menempatkan file PDF yang aman dengan tautan ke malware di Google Drive, percaya bahwa dengan cara ini mereka dapat menghindari deteksi oleh program anti-virus. Mereka juga menyandikan muatan berbahaya dalam nama file yang ditempatkan di Drive, sementara file itu sendiri kosong.
“Google telah mengambil langkah-langkah untuk menghentikan penggunaan nama file ARCHIPELAGO di Drive untuk menyandikan muatan dan perintah malware. Grup tersebut telah berhenti menggunakan teknik ini di Drive," kata Google.
Terakhir, penyerang membuat ekstensi Chrome berbahaya yang memungkinkan mereka mencuri kredensial login dan cookie browser. Hal ini mendorong Google untuk meningkatkan keamanan di ekosistem ekstensi Chrome, sehingga penyerang kini harus terlebih dahulu berkompromi dengan titik akhir, lalu menimpa setelan Chrome dan setelan keamanan untuk menjalankan ekstensi jahat.
Juga menarik: