Търсене
Close this search box.

Хакери злоупотребяват с инструменти на Google

Установено е, че китайската държавно спонсорирана хакерска група APT41 е злоупотребила с инструмента за червен екип GC2 (Google Command and Control) при атаки за кражба на данни срещу тайванска медия и италианска компания за търсене на работа.

APT 41, известна също като HOODOO, е китайска държавно спонсорирана хакерска група, за която е известно, че е насочена към широк кръг индустрии в САЩ, Азия и Европа. Mandiant проследява хакерската група от 2014 г., като твърди, че дейностите ѝ се припокриват с други известни китайски хакерски групи, като BARIUM и Winnti.

В публикувания миналия петък доклад на Google за заплахите през април 2023 г. (April 2023 Threat Horizons Report) изследователите по сигурността в нейната Група за анализ на заплахите (TAG) разкриха, че APT41 злоупотребява с инструмента за червен екип GC2 при атаки.

GC2, известен също като Google Command and Control, е проект с отворен код, написан на езика Go, който е предназначен за дейности по създаване на червени екипи.

„Тази програма е разработена с цел да се осигури команда и контрол, които не изискват някаква конкретна настройка (като: потребителски домейн, VPS, CDN, …) по време на дейностите на червения екип“, се казва в хранилището на проекта в GitHub.

„Освен това програмата ще взаимодейства само с домейните на Google (*.google.com), за да се затрудни откриването им.“

Проектът се състои от агент, който се разполага на компрометирани устройства, след което се свързва обратно към URL адреса на Google Sheets, за да получи команди за изпълнение.

Тези команди карат разгърнатите агенти да изтеглят и инсталират допълнителни полезни товари от Google Drive или да ексфилтрират откраднати данни към услугата за съхранение в облака.

GC2 злоупотребява с атаки

Според доклада на Google TAG е прекъснала фишинг атака на APT41 срещу тайванска медийна компания, която се е опитала да разпространи агента GC2 чрез фишинг имейли.

„През октомври 2022 г. Групата за анализ на заплахите (TAG) на Google прекъсна кампания на HOODOO, подкрепян от китайското правителство нападател, известен също като APT41, която беше насочена към тайванска медийна организация чрез изпращане на фишинг имейли, които съдържаха връзки към защитен с парола файл, хостван в Drive“, се обяснява в доклада Google Threat Horizons.

„Полезният товар представляваше инструмент с отворен код за червени екипи, наречен „Google Command and Control“ (GC2).“

Google казва, че APT41 е използвала GC2 и при атаки срещу италиански уебсайт за търсене на работа през юли 2022 г.

Използвайки агента, Google казва, че хакерите са се опитали да разположат допълнителни полезни товари на устройството и да ексфилтрират данни в Google Drive, както е показано в работния процес на атаката по-долу.

 

Въпреки че не е известно какъв зловреден софтуер е бил разпространен при тези атаки, известно е, че APT41 разполага голямо разнообразие от зловреден софтуер на компрометирани системи.

В доклад на Mandiant от 2019 г. се обяснява, че хакерите използват руткитове, буткитове, потребителски зловреден софтуер, задни вратички, зловреден софтуер за точки на продажба и дори софтуер за откуп при изолиран инцидент.

Известно е също, че извършителите използват зловредния софтуер Winnti и уеб обвивката China Chopper – инструменти, които обикновено се използват от китайски хакерски групи, както и Cobalt Strike за постоянство в компрометираните мрежи.

През 2020 г. Министерството на правосъдието повдигна обвинения на трима китайски граждани, за които се смята, че са част от APT41, за провеждане на атаки по веригата за доставки [CCleaner, ShadowPad, ShadowHammer], кражба на данни и пробиви срещу държави по целия свят.

Преминаване към легитимни инструменти

Използването на GC2 от страна на APT41 е още един показател за тенденцията за преминаване на бандитите към легитимни инструменти за red teaming и платформи за RMM като част от техните атаки.

Въпреки че използването на Cobalt Strike в атаките е широко разпространено от години, то доведе и до значителни инвестиции в откриването му в атаките, което го прави по-лесно забележим от защитниците.

Поради това хакерите започнаха да преминават към други инструменти за червен екип, като Brute Ratel и Sliver, за да избегнат откриването по време на атаките си.

Неотдавна бандите, занимаващи се с рансъмуер, започнаха да злоупотребяват с инструмента за отдалечено наблюдение и управление (RMM) Action1, за да се задържат в компрометирани мрежи и да изпълняват команди, скриптове и двоични файлове.

За съжаление, както всеки инструмент, който може да помогне на червените екипи да провеждат учения или на администраторите да управляват мрежата от разстояние, те могат също толкова добре да бъдат използвани от престъпниците при техните атаки.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Christie's потвърждава проб...

Christie’s потвърди, че е претърпяла инцидент...
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!