Google Threat Intelligence Group заедно с Mandiant и партньори успешно нарушиха глобална шпионска кампания, приписвана на подозрителен китайски кибероператор, който използва SaaS API за скриване на зловреден трафик.

Кампанията е активна поне от 2023 г. и е засегнала 53 организации в 42 държави (вкл. България), като предполагаеми инфекции са наблюдавани и в поне 20 други страни. Първоначалният вектор за проникване остава неизвестен, но UNC2814 в миналото е използвал уязвимости в уеб сървъри и крайни системи за достъп до мрежите на жертвите.

Карта на засегнатите държави

Източник: Google

Нов зловреден софтуер GRIDTIDE

В последната разкрита кампания кибероператорът е използвал нов C-базиран бекдор с името GRIDTIDE, който злоупотребява с Google Sheets API за евaзивни командно-контролни операции (C2).

Схема на работа на GRIDTIDE

Източник: Google

GRIDTIDE се автентикира чрез твърдо кодирана частна ключова информация на Google Service Account и при стартиране изчиства първите 1000 реда и колоните A-Z на електронната таблица. След това извършва разузнаване на хоста, като събира данни за потребителското име, името на устройството, ОС, локален IP, локализация и часови пояс, като записва информацията в клетка V1.

Първата клетка (A1) функционира като командна/статус клетка, която зловредният софтуер непрекъснато проверява за инструкции. Ако няма команда, GRIDTIDE прави многократни опити за проверка, като постепенно намалява честотата, за да намали шума в трафика.

Поддържани команди:

• C – изпълнява Base64-кодирани bash команди и записва резултатите в електронната таблица

• U (upload) – конструира и записва файл от клетки A2:A<аргумент> в зададена кодирана директория

• D (download) – чете локален файл и го предава чрез 45 KB фрагменти в клетки A2:An

Клетките A2:An се използват както за резултатите от командите, така и за екcфилтрирани файлове и инструменти, като комуникацията с C2 е закодирана чрез URL-safe Base64, което я прави трудно забележима от стандартни уеб мониторинг инструменти и позволява да се маскира като нормален трафик.

Потенциален риск за чувствителни данни

В поне един случай GRIDTIDE е разположен на система, съдържаща чувствителни лично идентифицируеми данни (PII), но изследователите не наблюдават директно ексфилтрация.

GRIDTIDE демонстрира нов подход за скрито командно-контролиране чрез SaaS платформи, който е труден за засичане и блокиране без специализирани правила за наблюдение.

Действия за нарушаване на кампанията

Google, Mandiant и партньори предприемат координирани действия за спиране на кампаниите:

• Прекратяват всички Google Cloud проекти, контролирани от UNC2814

• Деактивират известната инфраструктура и отнемат достъпа до Google Sheets API

• Използват sinkhole за текущи и исторически домейни, свързани с C2

• Известяват засегнатите организации и предлагат съдействие за почистване на инфекции

Google публикува правила за откриване и индикатори на компрометиране (IoC) в доклада си за GRIDTIDE.

Очаквани бъдещи действия на UNC2814

Въпреки успешното прекъсване на кампанията, Google предупреждава, че UNC2814 вероятно ще възобнови активността си с нова инфраструктура в близко бъдеще, което изисква от организациите да останат бдителни и да прилагат превантивни мерки.