Um grupo chinês patrocinado pelo Estado tem como alvo uma organização de mídia taiwanesa não identificada para fornecer uma ferramenta de teste de penetração de código aberto conhecida como Google Command and Control (GC2), aproveitando-se do uso malicioso da infraestrutura do Google.
O Grupo de Análise de Ameaças (TAG) da gigante da tecnologia atribuiu a campanha a um ator de ameaças que rastreia sob o nome temático geológico e geográfico HOODOO, que também é conhecido pelos nomes APT41, Barium, Bronze Atlas, Wicked Panda e Winnti. O ponto de partida do ataque é um e-mail de phishing que contém links para um arquivo protegido por senha hospedado no Google Drive, que por sua vez, incorpora a ferramenta GC2 baseada em Go para ler comandos do Google Sheets e exfiltrar dados usando o serviço de armazenamento em nuvem.
Ameaças do APT41 e a Adoção do GC2
“Após a instalação na máquina da vítima, o malware consulta o Google Sheets para obter comandos do invasor”, informou a divisão de nuvem do Google em seu sexto Relatório de Horizontes de Ameaças.
“Além da exfiltração via Drive, o GC2 permite que o invasor faça o download de arquivos adicionais do Drive para o sistema da vítima.” O Google afirmou que o ator de ameaças já havia utilizado o mesmo malware em julho de 2022 para atacar um site italiano de busca de empregos. O desenvolvimento é notável por duas razões: primeiro, sugere que grupos de ameaças chineses estão cada vez mais dependentes de ferramentas disponíveis publicamente, como o Cobalt Strike e o GC2, para confundir os esforços de atribuição.
Em segundo lugar, também aponta para a crescente adoção de malware e ferramentas escritas na linguagem de programação Go, devido à sua compatibilidade multiplataforma e natureza modular. O Google também alertou que o “valor inegável dos serviços em nuvem” os tornou um alvo lucrativo tanto para cibercriminosos quanto para atores apoiados pelo governo, “seja como hospedeiros de malware ou fornecendo a infraestrutura para o comando e controle (C2).”
O Uso do Google Drive para Armazenar Malware
Um exemplo disso é o uso do Google Drive para armazenar malwares como Ursnif (também conhecido como Gozi ou ISFB) e DICELOADER (também conhecido como Lizar ou Tirion) na forma de arquivos ZIP em campanhas de phishing diversas.
“O vetor mais comum usado para comprometer qualquer rede, incluindo instâncias em nuvem, é assumir diretamente as credenciais de uma conta: seja porque não há senha, como em algumas configurações padrão, ou porque uma credencial vazou ou foi reutilizada ou é tão fraca que pode ser adivinhada facilmente”, disse Christopher Porter, do Google Cloud.
Essas descobertas vêm três meses depois que o Google Cloud detalhou o direcionamento da infraestrutura em nuvem e das tecnologias de VPN pelo APT10 (também conhecido como Bronze Riverside, Cicada, Potassium ou Stone Panda) para invadir ambientes empresariais e exfiltrar dados de interesse.
Conclusão
O uso do GC2 pelo APT41 para atacar um site de mídia taiwanesa destaca as crescentes táticas dos grupos de ameaças chineses que se aproveitam de ferramentas de código aberto e infraestruturas populares para dificultar a atribuição de ataques cibernéticos. Além disso, a adoção do malware e das ferramentas escritas em Go ressalta a necessidade de uma maior atenção à segurança em ambientes multiplataforma.
Os provedores de serviços em nuvem, como o Google Drive, são alvos lucrativos para cibercriminosos e atores apoiados pelo Estado. A proteção das credenciais de acesso e a implementação de medidas de segurança eficazes são essenciais para mitigar os riscos associados a esses ataques. À medida que a cibersegurança evolui, é crucial que empresas e organizações adotem uma abordagem proativa para fortalecer suas defesas, permanecerem atualizadas sobre as últimas ameaças e implementarem medidas de segurança em todos os níveis, desde a conscientização dos usuários até a proteção da infraestrutura em nuvem.
Fonte: https://thehackernews.com/2023/04/google-uncovers-apt41s-use-of-open.html