Установено е, че китайската държавно спонсорирана хакерска група APT41 е злоупотребила с инструмента за червен екип GC2 (Google Command and Control) при атаки за кражба на данни срещу тайванска медия и италианска компания за търсене на работа.

APT 41, известна също като HOODOO, е китайска държавно спонсорирана хакерска група, за която е известно, че е насочена към широк кръг индустрии в САЩ, Азия и Европа. Mandiant проследява хакерската група от 2014 г., като твърди, че дейностите ѝ се припокриват с други известни китайски хакерски групи, като BARIUM и Winnti.

В публикувания миналия петък доклад на Google за заплахите през април 2023 г. (April 2023 Threat Horizons Report) изследователите по сигурността в нейната Група за анализ на заплахите (TAG) разкриха, че APT41 злоупотребява с инструмента за червен екип GC2 при атаки.

GC2, известен също като Google Command and Control, е проект с отворен код, написан на езика Go, който е предназначен за дейности по създаване на червени екипи.

„Тази програма е разработена с цел да се осигури команда и контрол, които не изискват някаква конкретна настройка (като: потребителски домейн, VPS, CDN, …) по време на дейностите на червения екип“, се казва в хранилището на проекта в GitHub.

„Освен това програмата ще взаимодейства само с домейните на Google (*.google.com), за да се затрудни откриването им.“

Проектът се състои от агент, който се разполага на компрометирани устройства, след което се свързва обратно към URL адреса на Google Sheets, за да получи команди за изпълнение.

Тези команди карат разгърнатите агенти да изтеглят и инсталират допълнителни полезни товари от Google Drive или да ексфилтрират откраднати данни към услугата за съхранение в облака.

GC2 злоупотребява с атаки

Според доклада на Google TAG е прекъснала фишинг атака на APT41 срещу тайванска медийна компания, която се е опитала да разпространи агента GC2 чрез фишинг имейли.

„През октомври 2022 г. Групата за анализ на заплахите (TAG) на Google прекъсна кампания на HOODOO, подкрепян от китайското правителство нападател, известен също като APT41, която беше насочена към тайванска медийна организация чрез изпращане на фишинг имейли, които съдържаха връзки към защитен с парола файл, хостван в Drive“, се обяснява в доклада Google Threat Horizons.

„Полезният товар представляваше инструмент с отворен код за червени екипи, наречен „Google Command and Control“ (GC2).“

Google казва, че APT41 е използвала GC2 и при атаки срещу италиански уебсайт за търсене на работа през юли 2022 г.

Използвайки агента, Google казва, че хакерите са се опитали да разположат допълнителни полезни товари на устройството и да ексфилтрират данни в Google Drive, както е показано в работния процес на атаката по-долу.

Въпреки че не е известно какъв зловреден софтуер е бил разпространен при тези атаки, известно е, че APT41 разполага голямо разнообразие от зловреден софтуер на компрометирани системи.

В доклад на Mandiant от 2019 г. се обяснява, че хакерите използват руткитове, буткитове, потребителски зловреден софтуер, задни вратички, зловреден софтуер за точки на продажба и дори софтуер за откуп при изолиран инцидент.

Известно е също, че извършителите използват зловредния софтуер Winnti и уеб обвивката China Chopper – инструменти, които обикновено се използват от китайски хакерски групи, както и Cobalt Strike за постоянство в компрометираните мрежи.

През 2020 г. Министерството на правосъдието повдигна обвинения на трима китайски граждани, за които се смята, че са част от APT41, за провеждане на атаки по веригата за доставки [CCleaner, ShadowPad, ShadowHammer], кражба на данни и пробиви срещу държави по целия свят.

Преминаване към легитимни инструменти

Използването на GC2 от страна на APT41 е още един показател за тенденцията за преминаване на бандитите към легитимни инструменти за red teaming и платформи за RMM като част от техните атаки.

Въпреки че използването на Cobalt Strike в атаките е широко разпространено от години, то доведе и до значителни инвестиции в откриването му в атаките, което го прави по-лесно забележим от защитниците.

Поради това хакерите започнаха да преминават към други инструменти за червен екип, като Brute Ratel и Sliver, за да избегнат откриването по време на атаките си.

Неотдавна бандите, занимаващи се с рансъмуер, започнаха да злоупотребяват с инструмента за отдалечено наблюдение и управление (RMM) Action1, за да се задържат в компрометирани мрежи и да изпълняват команди, скриптове и двоични файлове.

За съжаление, както всеки инструмент, който може да помогне на червените екипи да провеждат учения или на администраторите да управляват мрежата от разстояние, те могат също толкова добре да бъдат използвани от престъпниците при техните атаки.