Търсене
Close this search box.

Хакери злоупотребяват с инструменти на Google

Установено е, че китайската държавно спонсорирана хакерска група APT41 е злоупотребила с инструмента за червен екип GC2 (Google Command and Control) при атаки за кражба на данни срещу тайванска медия и италианска компания за търсене на работа.

APT 41, известна също като HOODOO, е китайска държавно спонсорирана хакерска група, за която е известно, че е насочена към широк кръг индустрии в САЩ, Азия и Европа. Mandiant проследява хакерската група от 2014 г., като твърди, че дейностите ѝ се припокриват с други известни китайски хакерски групи, като BARIUM и Winnti.

В публикувания миналия петък доклад на Google за заплахите през април 2023 г. (April 2023 Threat Horizons Report) изследователите по сигурността в нейната Група за анализ на заплахите (TAG) разкриха, че APT41 злоупотребява с инструмента за червен екип GC2 при атаки.

GC2, известен също като Google Command and Control, е проект с отворен код, написан на езика Go, който е предназначен за дейности по създаване на червени екипи.

„Тази програма е разработена с цел да се осигури команда и контрол, които не изискват някаква конкретна настройка (като: потребителски домейн, VPS, CDN, …) по време на дейностите на червения екип“, се казва в хранилището на проекта в GitHub.

„Освен това програмата ще взаимодейства само с домейните на Google (*.google.com), за да се затрудни откриването им.“

Проектът се състои от агент, който се разполага на компрометирани устройства, след което се свързва обратно към URL адреса на Google Sheets, за да получи команди за изпълнение.

Тези команди карат разгърнатите агенти да изтеглят и инсталират допълнителни полезни товари от Google Drive или да ексфилтрират откраднати данни към услугата за съхранение в облака.

GC2 злоупотребява с атаки

Според доклада на Google TAG е прекъснала фишинг атака на APT41 срещу тайванска медийна компания, която се е опитала да разпространи агента GC2 чрез фишинг имейли.

„През октомври 2022 г. Групата за анализ на заплахите (TAG) на Google прекъсна кампания на HOODOO, подкрепян от китайското правителство нападател, известен също като APT41, която беше насочена към тайванска медийна организация чрез изпращане на фишинг имейли, които съдържаха връзки към защитен с парола файл, хостван в Drive“, се обяснява в доклада Google Threat Horizons.

„Полезният товар представляваше инструмент с отворен код за червени екипи, наречен „Google Command and Control“ (GC2).“

Google казва, че APT41 е използвала GC2 и при атаки срещу италиански уебсайт за търсене на работа през юли 2022 г.

Използвайки агента, Google казва, че хакерите са се опитали да разположат допълнителни полезни товари на устройството и да ексфилтрират данни в Google Drive, както е показано в работния процес на атаката по-долу.

 

Въпреки че не е известно какъв зловреден софтуер е бил разпространен при тези атаки, известно е, че APT41 разполага голямо разнообразие от зловреден софтуер на компрометирани системи.

В доклад на Mandiant от 2019 г. се обяснява, че хакерите използват руткитове, буткитове, потребителски зловреден софтуер, задни вратички, зловреден софтуер за точки на продажба и дори софтуер за откуп при изолиран инцидент.

Известно е също, че извършителите използват зловредния софтуер Winnti и уеб обвивката China Chopper – инструменти, които обикновено се използват от китайски хакерски групи, както и Cobalt Strike за постоянство в компрометираните мрежи.

През 2020 г. Министерството на правосъдието повдигна обвинения на трима китайски граждани, за които се смята, че са част от APT41, за провеждане на атаки по веригата за доставки [CCleaner, ShadowPad, ShadowHammer], кражба на данни и пробиви срещу държави по целия свят.

Преминаване към легитимни инструменти

Използването на GC2 от страна на APT41 е още един показател за тенденцията за преминаване на бандитите към легитимни инструменти за red teaming и платформи за RMM като част от техните атаки.

Въпреки че използването на Cobalt Strike в атаките е широко разпространено от години, то доведе и до значителни инвестиции в откриването му в атаките, което го прави по-лесно забележим от защитниците.

Поради това хакерите започнаха да преминават към други инструменти за червен екип, като Brute Ratel и Sliver, за да избегнат откриването по време на атаките си.

Неотдавна бандите, занимаващи се с рансъмуер, започнаха да злоупотребяват с инструмента за отдалечено наблюдение и управление (RMM) Action1, за да се задържат в компрометирани мрежи и да изпълняват команди, скриптове и двоични файлове.

За съжаление, както всеки инструмент, който може да помогне на червените екипи да провеждат учения или на администраторите да управляват мрежата от разстояние, те могат също толкова добре да бъдат използвани от престъпниците при техните атаки.

Източник: По материали от Интернет

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
Бъдете социални
Още по темата
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

300 000 души са засегнати о...

Avis Car Rental уведомява близо 300...
09/09/2024

Новата атака RAMBO краде да...

Нова атака по страничен канал, наречена...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!