Çin devlet destekli hack grubu APT41, bir Tayvanlı medyaya ve bir İtalyan iş arama şirketine karşı veri hırsızlığı saldırılarında GC2 (Google Komutanlığı ve Kontrol) Kırmızı Takım Aracını kötüye kullanan bulundu.
Hoodoo olarak da bilinen Apt 41, ABD, Asya ve Avrupa'da çok çeşitli endüstrileri hedeflediği bilinen Çin devlet destekli bir hack grubudur. Mantiant, 2014'ten beri hack grubunu izliyor ve faaliyetlerinin Barium ve Winnti gibi bilinen Çin hack gruplarıyla örtüştüğünü söyledi.
Google'ın geçen Cuma günü yayınlanan Nisan 2023 Tehdit Horizons raporunda, Tehdit Analiz Grubu'ndaki (TAG) güvenlik araştırmacıları, APT41'in saldırılarda GC2 kırmızı takımlama aracını kötüye kullandığını ortaya koydu.
Google Command and Control olarak da bilinen GC2, GO'da yazılmış ve kırmızı ekip etkinlikleri için tasarlanmış bir açık kaynaklı bir projedir.
Projenin GitHub deposunu okuduğu, "Bu program, kırmızı ekip etkinlikleri sırasında herhangi bir kurulum gerektirmeyen bir komut ve kontrol sağlamak için geliştirilmiştir."
"Ayrıca, program sadece Google'ın alan adlarıyla (*.google.com) etkileşime girecektir."
Proje, tehlikeye atılan cihazlara dağıtılan bir aracıdan oluşur ve daha sonra yürütülmesi için komutları almak için bir Google Levha URL'sine geri bağlanır.
Bu komutlar, dağıtılan aracıların Google Drive'dan ek yükleri indirip yüklemesine veya çalınan verileri bulut depolama hizmetine ekler.
Google'ın raporuna göre, TAG, GC2 ajanını kimlik avı e -postaları aracılığıyla dağıtmaya çalışan Tayvanlı bir medya şirketine karşı bir APT41 kimlik avı saldırısını bozdu.
"Ekim 2022'de Google'ın Tehdit Analiz Grubu (TAG), APT41 olarak da bilinen Çin hükümet destekli bir saldırgan olan Hoodoo'dan bir kampanyayı bozdu, bu da Tayvanlı bir medya organizasyonunu hedefleyen bir Tayvanlı medya organizasyonunu hedef aldı. , "Google Tehdit Ufukları raporunu açıkladı.
"Yük," Google Command and Control "(GC2) adlı açık kaynaklı bir kırmızı ekip oluşturma aracıydı.
Google, APT41'in Temmuz 2022'de bir İtalyan iş arama web sitesine yönelik saldırılarda GC2 kullandığını söylüyor.
Acenteyi kullanarak Google, tehdit aktörlerinin, aşağıdaki saldırı iş akışında gösterildiği gibi, cihaza ek yükler dağıtmaya ve verileri Google Drive'a eklemeye çalıştığını söylüyor.
Bu saldırılarda hangi kötü amaçlı yazılım dağıtıldığı bilinmese de, APT41'in tehlikeye atılan sistemlere çok çeşitli kötü amaçlı yazılımlar kullandığı bilinmektedir.
Bir 2019 Mantiant raporu, tehdit aktörlerinin rootkits, bootkits, özel kötü amaçlı yazılım, arka kapı, satış noktası kötü amaçlı yazılım ve hatta fidye yazılımlarını izole edilmiş bir olayda kullandığını açıklıyor.
Tehdit aktörlerinin ayrıca Winnti kötü amaçlı yazılım ve Çin helikopter web kabuğunu, Çin hack grupları tarafından yaygın olarak kullanılan araçlar ve kobalt grevini, tehlikeye atılan ağlarda kalıcılık için kullandığı bilinmektedir.
2020'de Adalet Bakanlığı, Tedarik Zinciri saldırıları [CCLeaner, Shadowpad, Shadowhammer], veri hırsızlığı ve dünya çapında ülkelere karşı ihlaller yapmak için APT41'in bir parçası olduğuna inanılan üç Çinli vatandaşın suçlandığını belirtti.
BleepingComputer, bu saldırılarda gördükleri yükler hakkında daha fazla bilgi edinmek için Google ile temasa geçti, ancak bir yanıt hemen mevcut değildi.
APT41'in GC2 kullanımı, saldırılarının bir parçası olarak meşru kırmızı takım araçlarına ve RMM platformlarına taşınan tehdit aktörlerinin bir başka göstergesidir.
Saldırılarda kobalt grevinin kullanımı yıllardır yaygın olsa da, saldırılarda tespit etmek için önemli yatırımlara yol açarak savunucular tarafından daha kolay tespit edilmesini sağladı.
Bu nedenle, tehdit aktörleri, saldırıları sırasında tespitten kaçınmak için Brute Ratel ve Sliver gibi diğer kırmızı takım araçlarına geçmeye başladı.
Daha yakın zamanlarda, fidye yazılımı çeteleri, uzlaşmış ağlarda kalıcılık ve komutlar, komut dosyaları ve ikili dosyalar yürütmek için Action1 Uzaktan İzleme ve Yönetim (RMM) aracını kötüye kullanmaya başladı.
Ne yazık ki, kırmızı takımcıların egzersiz yapmasına veya yöneticilerin bir ağı uzaktan yönetmelerine yardımcı olabilecek herhangi bir araçta olduğu gibi, tehdit aktörleri tarafından kendi saldırılarında eşit derecede istismar edilebilirler.
Yeni QBOT e -posta saldırıları kötü amaçlı yazılım yüklemek için PDF ve WSF kombinasyonu kullanın
Microsoft: Kimlik avı saldırısı, vergi günü yaklaşımı olarak muhasebecileri hedefler
Microsoft Onenote 120 tehlikeli dosya uzantısını engelleyecek
Yeni buzlu varyantlar banka sahtekarlığından kötü amaçlı yazılım sunumuna geçiş
IRS'den sahte W-9 vergi formları olarak dağıtılan Emotet kötü amaçlı yazılım
Kaynak: Bleeping Computer