Pretnja koju podržava sjevernokorejska vlada povezana je s napadima usmjerenim na vladino i vojno osoblje, think tankove, kreatore politike, akademike i istraživače u Južnoj Koreji i SAD-u.
Google-ova grupa za analizu pretnji (TAG) prati klaster pod imenom ARCHIPELAGO, za koji kaže da je podskup druge grupe pretnji koju prati Mandiant pod imenom APT43.
Tehnološki gigant je rekao da je počeo nadgledati hakersku ekipu 2012. godine, dodajući da je “promatrao kako grupa cilja pojedince sa ekspertizom u pitanjima politike Sjeverne Koreje kao što su sankcije, ljudska prava i pitanja neširenja oružja”.
Kaže se da su prioriteti APT43, a time i ARHIPELAGO, usklađeni sa Sjevernokorejskim Generalnim biroom za izviđanje (RGB), primarnom stranom obavještajnom službom, što sugeriše preklapanje sa grupom široko poznatom kao Kimsuky.
“ARCHIPELAGO predstavlja podskup aktivnosti koje su opšte poznate kao Kimsuky” rekao je Google TAG za Hacker News. “Tokom posljednjih 11 godina vidjeli smo kako je grupa evoluirala svoju taktiku od prilično osnovnog phishing-a kredencijala do naprednih i novih tehnika kao što su prilagođena proširenja za Chrome i korištenje Google diska za komandu i kontrolu.”
Lanci napada koje postavlja ARCHIPELAGO uključuju upotrebu phishing email-ova koji sadrže maliciozne veze koje, kada ih primaoci kliknu, preusmjeravaju na lažne stranice za prijavu koje su dizajnirane za prikupljanje kredencijala.
Ove poruke navodno potiču od medija i think tankova i nastoje privući mete pod izgovorom traženja intervjua ili dodatnih informacija o Sjevernoj Koreji.
“ARCHIPELAGO ulaže vrijeme i trud da izgradi odnos sa ciljevima, često se dopisuje s njima putem email-a tokom nekoliko dana ili sedmica prije nego što konačno pošalje malicioznu vezu ili datoteku” rekao je TAG.
Poznato je da haker koristi tehniku pretraživača u pretraživaču (BitB) za prikazivanje lažnih stranica za prijavu unutar stvarnog prozora kako bi ukrao kredencijale.
Štaviše, phishing poruke su se predstavljale kao bezbjednosna upozorenja Google naloga za aktiviranje infekcije, a protivnički kolektiv hostuje sadržaje malicioznog softvera kao što je BabyShark na Google Drive-u u obliku praznih datoteka ili ISO slika optičkog diska.
Još jedna značajna tehnika koju je usvojio ARCHIPELAGO je korištenje lažnih ekstenzija za Google Chrome za prikupljanje osjetljivih podataka, kao što je dokazano u prethodnim kampanjama pod nazivom Stolen Pencil i SharpTongue.
Razvoj dolazi kada je AhnLab Security Emergency Response Center (ASEC) detaljno opisao Kimsukyj-evu upotrebu Alternate Data Stream (ADS) i naoružanih Microsoft Word datoteka za isporuku malvera za krađu informacija.
Izvor: The Hacker News