Търсене
Close this search box.

Хакери злоупотребяват с инструменти на Google

Установено е, че китайската държавно спонсорирана хакерска група APT41 е злоупотребила с инструмента за червен екип GC2 (Google Command and Control) при атаки за кражба на данни срещу тайванска медия и италианска компания за търсене на работа.

APT 41, известна също като HOODOO, е китайска държавно спонсорирана хакерска група, за която е известно, че е насочена към широк кръг индустрии в САЩ, Азия и Европа. Mandiant проследява хакерската група от 2014 г., като твърди, че дейностите ѝ се припокриват с други известни китайски хакерски групи, като BARIUM и Winnti.

В публикувания миналия петък доклад на Google за заплахите през април 2023 г. (April 2023 Threat Horizons Report) изследователите по сигурността в нейната Група за анализ на заплахите (TAG) разкриха, че APT41 злоупотребява с инструмента за червен екип GC2 при атаки.

GC2, известен също като Google Command and Control, е проект с отворен код, написан на езика Go, който е предназначен за дейности по създаване на червени екипи.

„Тази програма е разработена с цел да се осигури команда и контрол, които не изискват някаква конкретна настройка (като: потребителски домейн, VPS, CDN, …) по време на дейностите на червения екип“, се казва в хранилището на проекта в GitHub.

„Освен това програмата ще взаимодейства само с домейните на Google (*.google.com), за да се затрудни откриването им.“

Проектът се състои от агент, който се разполага на компрометирани устройства, след което се свързва обратно към URL адреса на Google Sheets, за да получи команди за изпълнение.

Тези команди карат разгърнатите агенти да изтеглят и инсталират допълнителни полезни товари от Google Drive или да ексфилтрират откраднати данни към услугата за съхранение в облака.

GC2 злоупотребява с атаки

Според доклада на Google TAG е прекъснала фишинг атака на APT41 срещу тайванска медийна компания, която се е опитала да разпространи агента GC2 чрез фишинг имейли.

„През октомври 2022 г. Групата за анализ на заплахите (TAG) на Google прекъсна кампания на HOODOO, подкрепян от китайското правителство нападател, известен също като APT41, която беше насочена към тайванска медийна организация чрез изпращане на фишинг имейли, които съдържаха връзки към защитен с парола файл, хостван в Drive“, се обяснява в доклада Google Threat Horizons.

„Полезният товар представляваше инструмент с отворен код за червени екипи, наречен „Google Command and Control“ (GC2).“

Google казва, че APT41 е използвала GC2 и при атаки срещу италиански уебсайт за търсене на работа през юли 2022 г.

Използвайки агента, Google казва, че хакерите са се опитали да разположат допълнителни полезни товари на устройството и да ексфилтрират данни в Google Drive, както е показано в работния процес на атаката по-долу.

 

Въпреки че не е известно какъв зловреден софтуер е бил разпространен при тези атаки, известно е, че APT41 разполага голямо разнообразие от зловреден софтуер на компрометирани системи.

В доклад на Mandiant от 2019 г. се обяснява, че хакерите използват руткитове, буткитове, потребителски зловреден софтуер, задни вратички, зловреден софтуер за точки на продажба и дори софтуер за откуп при изолиран инцидент.

Известно е също, че извършителите използват зловредния софтуер Winnti и уеб обвивката China Chopper – инструменти, които обикновено се използват от китайски хакерски групи, както и Cobalt Strike за постоянство в компрометираните мрежи.

През 2020 г. Министерството на правосъдието повдигна обвинения на трима китайски граждани, за които се смята, че са част от APT41, за провеждане на атаки по веригата за доставки [CCleaner, ShadowPad, ShadowHammer], кражба на данни и пробиви срещу държави по целия свят.

Преминаване към легитимни инструменти

Използването на GC2 от страна на APT41 е още един показател за тенденцията за преминаване на бандитите към легитимни инструменти за red teaming и платформи за RMM като част от техните атаки.

Въпреки че използването на Cobalt Strike в атаките е широко разпространено от години, то доведе и до значителни инвестиции в откриването му в атаките, което го прави по-лесно забележим от защитниците.

Поради това хакерите започнаха да преминават към други инструменти за червен екип, като Brute Ratel и Sliver, за да избегнат откриването по време на атаките си.

Неотдавна бандите, занимаващи се с рансъмуер, започнаха да злоупотребяват с инструмента за отдалечено наблюдение и управление (RMM) Action1, за да се задържат в компрометирани мрежи и да изпълняват команди, скриптове и двоични файлове.

За съжаление, както всеки инструмент, който може да помогне на червените екипи да провеждат учения или на администраторите да управляват мрежата от разстояние, те могат също толкова добре да бъдат използвани от престъпниците при техните атаки.

Източник: По материали от Интернет

Подобни публикации

6 декември 2023

Austal USA потвърждава кибератака след изтичане...

Austal USA, корабостроителна компания и изпълнител на Министерствот...
6 декември 2023

Tipalti: няма пробив на рансъмуер, няма заплаха...

Противно на твърденията, съобщени от известната група BlackCat/ALPH...
6 декември 2023

Хакери са нарушили медицинските данни на израе...

Хакерска група твърди, че е откраднала 500 GB медицински данни от м...
6 декември 2023

Evil Twin - какво е и как да се предпазим

Използването на обществени Wi-Fi мрежи може да създаде значителни р...
5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
Бъдете социални
Още по темата
06/12/2023

Austal USA потвърждава кибе...

Austal USA, корабостроителна компания и изпълнител...
06/12/2023

Tipalti: няма пробив на ран...

Противно на твърденията, съобщени от известната...
06/12/2023

Хакери са нарушили медицин...

Хакерска група твърди, че е откраднала...
Последно добавени
06/12/2023

Austal USA потвърждава кибе...

Austal USA, корабостроителна компания и изпълнител...
06/12/2023

Tipalti: няма пробив на ран...

Противно на твърденията, съобщени от известната...
06/12/2023

Хакери са нарушили медицин...

Хакерска група твърди, че е откраднала...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!