{"id":19821,"date":"2023-05-17T20:10:42","date_gmt":"2023-05-17T23:10:42","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19821"},"modified":"2023-05-17T20:10:42","modified_gmt":"2023-05-17T23:10:42","slug":"uso-de-ferramenta-de-codigo-aberto-gc2-pelo-apt41-para-atacar-sites","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2023\/05\/basico\/uso-de-ferramenta-de-codigo-aberto-gc2-pelo-apt41-para-atacar-sites\/","title":{"rendered":"Uso de ferramenta de c\u00f3digo aberto GC2 pelo APT41 para atacar sites"},"content":{"rendered":"\n\n\n

Um grupo chin\u00eas patrocinado pelo Estado tem como alvo uma organiza\u00e7\u00e3o de m\u00eddia taiwanesa n\u00e3o identificada para fornecer uma ferramenta de teste de penetra\u00e7\u00e3o de c\u00f3digo aberto conhecida como Google Command and Control (GC2), aproveitando-se do uso malicioso da infraestrutura do Google.<\/p>\n

\u00a0<\/p>\n

O Grupo de An\u00e1lise de Amea\u00e7as (TAG) da gigante da tecnologia atribuiu a campanha a um ator de amea\u00e7as que rastreia sob o nome tem\u00e1tico geol\u00f3gico e geogr\u00e1fico HOODOO, que tamb\u00e9m \u00e9 conhecido pelos nomes APT41, Barium, Bronze Atlas, Wicked Panda e Winnti. O ponto de partida do ataque \u00e9 um e-mail de phishing que cont\u00e9m links para um arquivo protegido por senha hospedado no Google Drive, que por sua vez, incorpora a ferramenta GC2 baseada em Go para ler comandos do Google Sheets e exfiltrar dados usando o servi\u00e7o de armazenamento em nuvem.<\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"Threat<\/a><\/div>\n

\u00a0<\/p>\n<\/div>\n

Amea\u00e7as do APT41 e a Ado\u00e7\u00e3o do GC2<\/strong><\/p>\n

“Ap\u00f3s a instala\u00e7\u00e3o na m\u00e1quina da v\u00edtima, o malware consulta o Google Sheets para obter comandos do invasor”, informou a divis\u00e3o de nuvem do Google em seu sexto Relat\u00f3rio de Horizontes de Amea\u00e7as.<\/p>\n

\u00a0<\/p>\n

“Al\u00e9m da exfiltra\u00e7\u00e3o via Drive, o GC2 permite que o invasor fa\u00e7a o download de arquivos adicionais do Drive para o sistema da v\u00edtima.” O Google afirmou que o ator de amea\u00e7as j\u00e1 havia utilizado o mesmo malware em julho de 2022 para atacar um site italiano de busca de empregos. O desenvolvimento \u00e9 not\u00e1vel por duas raz\u00f5es: primeiro, sugere que grupos de amea\u00e7as chineses est\u00e3o cada vez mais dependentes de ferramentas dispon\u00edveis publicamente, como o Cobalt Strike e o GC2, para confundir os esfor\u00e7os de atribui\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Em segundo lugar, tamb\u00e9m aponta para a crescente ado\u00e7\u00e3o de malware e ferramentas escritas na linguagem de programa\u00e7\u00e3o Go, devido \u00e0 sua compatibilidade multiplataforma e natureza modular. O Google tamb\u00e9m alertou que o “valor ineg\u00e1vel dos servi\u00e7os em nuvem” os tornou um alvo lucrativo tanto para cibercriminosos quanto para atores apoiados pelo governo, “seja como hospedeiros de malware ou fornecendo a infraestrutura para o comando e controle (C2).”<\/p>\n

\u00a0<\/p>\n

O Uso do Google Drive para Armazenar Malware<\/strong><\/p>\n

Um exemplo disso \u00e9 o uso do Google Drive para armazenar malwares como Ursnif (tamb\u00e9m conhecido como Gozi ou ISFB) e DICELOADER (tamb\u00e9m conhecido como Lizar ou Tirion) na forma de arquivos ZIP em campanhas de phishing diversas.<\/p>\n

\u00a0<\/p>\n

“O vetor mais comum usado para comprometer qualquer rede, incluindo inst\u00e2ncias em nuvem, \u00e9 assumir diretamente as credenciais de uma conta: seja porque n\u00e3o h\u00e1 senha, como em algumas configura\u00e7\u00f5es padr\u00e3o, ou porque uma credencial vazou ou foi reutilizada ou \u00e9 t\u00e3o fraca que pode ser adivinhada facilmente”, disse Christopher Porter, do Google Cloud.<\/p>\n

\u00a0<\/p>\n

Essas descobertas v\u00eam tr\u00eas meses depois que o Google Cloud detalhou o direcionamento da infraestrutura em nuvem e das tecnologias de VPN pelo APT10 (tamb\u00e9m conhecido como Bronze Riverside, Cicada, Potassium ou Stone Panda) para invadir ambientes empresariais e exfiltrar dados de interesse.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

O uso do GC2 pelo APT41 para atacar um site de m\u00eddia taiwanesa destaca as crescentes t\u00e1ticas dos grupos de amea\u00e7as chineses que se aproveitam de ferramentas de c\u00f3digo aberto e infraestruturas populares para dificultar a atribui\u00e7\u00e3o de ataques cibern\u00e9ticos. Al\u00e9m disso, a ado\u00e7\u00e3o do malware e das ferramentas escritas em Go ressalta a necessidade de uma maior aten\u00e7\u00e3o \u00e0 seguran\u00e7a em ambientes multiplataforma.<\/p>\n

\u00a0<\/p>\n

Os provedores de servi\u00e7os em nuvem, como o Google Drive, s\u00e3o alvos lucrativos para cibercriminosos e atores apoiados pelo Estado. A prote\u00e7\u00e3o das credenciais de acesso e a implementa\u00e7\u00e3o de medidas de seguran\u00e7a eficazes s\u00e3o essenciais para mitigar os riscos associados a esses ataques. \u00c0 medida que a ciberseguran\u00e7a evolui, \u00e9 crucial que empresas e organiza\u00e7\u00f5es adotem uma abordagem proativa para fortalecer suas defesas, permanecerem atualizadas sobre as \u00faltimas amea\u00e7as e implementarem medidas de seguran\u00e7a em todos os n\u00edveis, desde a conscientiza\u00e7\u00e3o dos usu\u00e1rios at\u00e9 a prote\u00e7\u00e3o da infraestrutura em nuvem.<\/p>\n

\u00a0<\/p>\n

Fonte:\u00a0https:\/\/thehackernews.com\/2023\/04\/google-uncovers-apt41s-use-of-open.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Um grupo chin\u00eas patrocinado pelo Estado tem como alvo uma organiza\u00e7\u00e3o de m\u00eddia taiwanesa n\u00e3o identificada para fornecer uma ferramenta de teste de penetra\u00e7\u00e3o de c\u00f3digo aberto conhecida como Google Command and Control (GC2), aproveitando-se do uso malicioso da infraestrutura do Google. \u00a0 O Grupo de An\u00e1lise de Amea\u00e7as (TAG) da gigante da tecnologia atribuiu […]<\/p>\n","protected":false},"author":2,"featured_media":19824,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,99],"tags":[],"class_list":["post-19821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19821"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19821\/revisions"}],"predecessor-version":[{"id":19823,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19821\/revisions\/19823"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19824"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}