Спонсируемая правительством Китая группа кибербандитов атаковала неназванную тайваньскую организацию в сфере медиа при помощи целого пакета общедоступных сервисов и инструментов Google.
Специалисты Google TAG не сомневаются , что за вредоносной кампанией стоит активная как минимум с 2007 года китайская группировка HOODOO, также известная как APT41, Barium, Bronze Atlas, Wicked Panda и Winnti.
Отправной точкой атаки является фишинговое электронное письмо, содержащее ссылки на защищенный паролем файл, размещенный на Google Диске. Этот файл включает в себя общедоступный ” data-html=”true” data-original-title=”Red Teaming” >Red Teaming-инструмент “Google Command and Control” (GC2), используемый злоумышленниками для чтения вредоносных команд из Google Таблиц, а также выгрузки данных жертвы в облачное пространство хакеров на том же Google Диске.
Схема атаки APT41 с использованием инфраструктуры Google
Специалисты Google заявили, что данные злоумышленники ранее уже использовали похожие методы, включающие применение GC2, в июле 2022 года во время атаки на итальянский веб-сайт поиска работы.
Исследование Google примечательно тем, что раскрывает сразу две набирающие обороты тенденции. Первая тенденция заключается во всё более частом использовании китайскими группами злоумышленников общедоступных инструментов, таких как Cobalt Strike, GC2 и прочих инструментов для пентеста, чтобы запутать исследователей безопасности и скрыть источник атаки. Вторая тенденция указывает на растущее распространение вредоносных программ и инструментов, написанных на языке программирования Go, благодаря его модульности и кроссплатформенной совместимости.
Компания Google также предупредила, что повсеместная доступность и удобство облачных сервисов сделало их желаемым и полезным инструментом не только для простых пользователей, но и для киберпреступников, использующих эти сервисы для распространения вредоносных программ и эксфильтрации данных.