分析与朝鲜有联系的ARCHIPELAGO APT组织进行的攻击

谷歌的威胁分析小组(TAG)警告称，一个与朝鲜有关的网络间谍组织被追踪为ARCHIPELAGO。

谷歌的威胁分析小组(TAG)警告与朝鲜有联系的ARCHIPELAGO组织，该组织的目标是韩国、美国和其他地方的政府和军​​事人员、智库、政策制定者、学者和研究人员。

谷歌专家自2012年以来一直在跟踪ARCHIPELAGO，并观察到该组织以具有朝鲜政策问题专业知识的个人为目标。

TAG认为，ARCHIPELAGO组织是被Mandiant追踪为APT43的威胁行为者的子集 。

与ARCHIPELAGO相关的攻击链始于嵌入恶意链接的网络钓鱼电子邮件。这些信息冒充媒体机构或智库的代表发送，并要求朝鲜专家参加媒体采访或信息请求(RFI)。单击该链接后，收件人将被重定向到伪装成登录提示的网络钓鱼页面。

收件人提供的凭据被发送到攻击者控制的URL，但是，在收件人输入密码后，钓鱼页面会重定向到包含采访问题的良性文档，或包含受害者感兴趣的信息的 RFI。

专家指出，ARCHIPELAGO着重于与目标建立融洽关系。

“ARCHIPELAGO投入时间和精力与目标建立融洽关系，通常在几天或几周内通过电子邮件与他们通信，然后最终发送恶意链接或文件。在一个案例中，该组织冒充韩国一家新闻机构的记者，向朝鲜专家发送带有采访请求的善意电子邮件。”“当收件人回复表示对采访感兴趣时，ARCHIPELAGO继续通过几封电子邮件进行通信，最后发送一个OneDrive链接到一个包含恶意软件的受密码保护的文件。”

威胁行为者还发送了指向“浏览器中的浏览器”网络钓鱼页面的链接。网络钓鱼页面向用户显示在实际浏览器窗口内呈现的虚假浏览器窗口。伪造的浏览器窗口显示一个 URL 和一个登录提示，旨在诱骗收件人向合法登录页面提供密码。

随着时间的推移，ARCHIPELAGO组织改变了其网络钓鱼策略以避免被发现，攻击者使用网络钓鱼消息冒充Google帐户安全警报。威胁行为者使用了BabyShark等恶意软件 ，这些恶意软件以空白文件或ISO映像文件的形式托管在Google Drive上。

作为STOLEN PENCIL活动的一部分，ARCHIPELAGO至少从2018年开始还使用恶意的Google Chrome扩展程序来收集敏感数据。当时，攻击者发送了带有链接的网络钓鱼电子邮件，该链接将收件人定向到诱饵文档，提示用户安装恶意Chrome扩展程序。

“最近，ARCHIPELAGO尝试使用变通方法安装一个新的恶意Chrome扩展程序，该扩展程序被公开称为SHARPEXT。如果成功安装在用户系统上，SHARPEXT可以解析来自活动Gmail或AOL Mail选项卡的电子邮件，并将它们泄露到攻击者控制的系统中。”“由于Chrome扩展生态系统的安全性得到提高，ARCHIPELAGO现在必须完成几个额外的步骤来安装扩展，包括首先在用户系统上成功安装恶意软件，然后覆盖Chrome偏好设置和安全偏好文件以允许扩展运行”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5558.html