Google приписала атаки хакерам из службы внешней разведки Северной Кореи, которые выполняют спецзадание властей.

Северокорейские правительственные хакеры ARCHIPELAGO проводят атаки на правительственный и военный персонал, аналитические центры, политиков, ученых и исследователей в Южной Корее и США. Об этом заявила команда Google TAG, связав группировку со спецслужбами Северной Кореи.

Специалисты Google TAG отслеживают группу с 2012 года. Эксперты выяснили, что ARCHIPELAGO нацелена на людей с опытом в политике Северной Кореи в вопросах санкций, прав человека и нераспространения информации.

Цепочки атак ARCHIPELAGO включают использование фишинговых электронных писем, содержащих вредоносные ссылки, которые перенаправляют жертв на фишинговые страницы входа, предназначенные для сбора учетных данных.

Письма отправляются от имени СМИ и аналитических центров и направлены на то, чтобы соблазнить цели под предлогом приглашения на интервью или запроса дополнительной информации о Северной Корее.

Исследователи пояснили, что киберпреступники тратят время и усилия на установление доверия с целями, часто переписываясь с ними по электронной почте в течение нескольких дней или недель, прежде чем отправить вредоносную ссылку или файл. Также известно, что ARCHIPELAGO использует метод « браузер в браузере » (browser-in-the-browser, BitB) для отображения поддельных страниц входа в реальном окне для кражи учетных данных.

В других случая фишинговые сообщения выдавали себя за предупреждения безопасности учетной записи Google. При этом хакеры размещали вредоносную программу BabyShark на Google Drive в виде пустых файлов или ISO-образов.

Другой метод группировки ARCHIPELAGO — это использование мошеннических расширений Google Chrome для сбора конфиденциальных данных, о чем свидетельствуют предыдущие кампании, получившие название Stolen Pencil и SharpTongue .

Утверждается, что приоритеты ARCHIPELAGO соответствуют интересам группы APT43 и совпадают с приоритетами внешней разведки Северной Кореи, что предполагает совпадение с группой Kimsuky.

В предупреждении об этой группе за октябрь 2020 года американское агентство CISA сообщило , что хакерам Kimsuky, вероятно, поручено северокорейским правительством выполнить глобальную миссию по сбору разведданных. В ряде случаев злоумышленники выдавали себя за южнокорейских журналистов, чтобы получить доступ к нужным им целям.

Источник: securitylab