Хакери злоупотребяват с инструменти на Google

Установено е, че китайската държавно спонсорирана хакерска група APT41 е злоупотребила с инструмента за червен екип GC2 (Google Command and Control) при атаки за кражба на данни срещу тайванска медия и италианска компания за търсене на работа.

APT 41, известна също като HOODOO, е китайска държавно спонсорирана хакерска група, за която е известно, че е насочена към широк кръг индустрии в САЩ, Азия и Европа. Mandiant проследява хакерската група от 2014 г., като твърди, че дейностите ѝ се припокриват с други известни китайски хакерски групи, като BARIUM и Winnti.

В публикувания миналия петък доклад на Google за заплахите през април 2023 г. (April 2023 Threat Horizons Report) изследователите по сигурността в нейната Група за анализ на заплахите (TAG) разкриха, че APT41 злоупотребява с инструмента за червен екип GC2 при атаки.

GC2, известен също като Google Command and Control, е проект с отворен код, написан на езика Go, който е предназначен за дейности по създаване на червени екипи.

„Тази програма е разработена с цел да се осигури команда и контрол, които не изискват някаква конкретна настройка (като: потребителски домейн, VPS, CDN, …) по време на дейностите на червения екип“, се казва в хранилището на проекта в GitHub.

„Освен това програмата ще взаимодейства само с домейните на Google (*.google.com), за да се затрудни откриването им.“

Проектът се състои от агент, който се разполага на компрометирани устройства, след което се свързва обратно към URL адреса на Google Sheets, за да получи команди за изпълнение.

Тези команди карат разгърнатите агенти да изтеглят и инсталират допълнителни полезни товари от Google Drive или да ексфилтрират откраднати данни към услугата за съхранение в облака.

GC2 злоупотребява с атаки

Според доклада на Google TAG е прекъснала фишинг атака на APT41 срещу тайванска медийна компания, която се е опитала да разпространи агента GC2 чрез фишинг имейли.

„През октомври 2022 г. Групата за анализ на заплахите (TAG) на Google прекъсна кампания на HOODOO, подкрепян от китайското правителство нападател, известен също като APT41, която беше насочена към тайванска медийна организация чрез изпращане на фишинг имейли, които съдържаха връзки към защитен с парола файл, хостван в Drive“, се обяснява в доклада Google Threat Horizons.

„Полезният товар представляваше инструмент с отворен код за червени екипи, наречен „Google Command and Control“ (GC2).“

Google казва, че APT41 е използвала GC2 и при атаки срещу италиански уебсайт за търсене на работа през юли 2022 г.

Използвайки агента, Google казва, че хакерите са се опитали да разположат допълнителни полезни товари на устройството и да ексфилтрират данни в Google Drive, както е показано в работния процес на атаката по-долу.

 

Въпреки че не е известно какъв зловреден софтуер е бил разпространен при тези атаки, известно е, че APT41 разполага голямо разнообразие от зловреден софтуер на компрометирани системи.

В доклад на Mandiant от 2019 г. се обяснява, че хакерите използват руткитове, буткитове, потребителски зловреден софтуер, задни вратички, зловреден софтуер за точки на продажба и дори софтуер за откуп при изолиран инцидент.

Известно е също, че извършителите използват зловредния софтуер Winnti и уеб обвивката China Chopper – инструменти, които обикновено се използват от китайски хакерски групи, както и Cobalt Strike за постоянство в компрометираните мрежи.

През 2020 г. Министерството на правосъдието повдигна обвинения на трима китайски граждани, за които се смята, че са част от APT41, за провеждане на атаки по веригата за доставки [CCleaner, ShadowPad, ShadowHammer], кражба на данни и пробиви срещу държави по целия свят.

Преминаване към легитимни инструменти

Използването на GC2 от страна на APT41 е още един показател за тенденцията за преминаване на бандитите към легитимни инструменти за red teaming и платформи за RMM като част от техните атаки.

Въпреки че използването на Cobalt Strike в атаките е широко разпространено от години, то доведе и до значителни инвестиции в откриването му в атаките, което го прави по-лесно забележим от защитниците.

Поради това хакерите започнаха да преминават към други инструменти за червен екип, като Brute Ratel и Sliver, за да избегнат откриването по време на атаките си.

Неотдавна бандите, занимаващи се с рансъмуер, започнаха да злоупотребяват с инструмента за отдалечено наблюдение и управление (RMM) Action1, за да се задържат в компрометирани мрежи и да изпълняват команди, скриптове и двоични файлове.

За съжаление, както всеки инструмент, който може да помогне на червените екипи да провеждат учения или на администраторите да управляват мрежата от разстояние, те могат също толкова добре да бъдат използвани от престъпниците при техните атаки.

Източник: По материали от Интернет

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!