Un grupo de estado-nación chino apuntó a una organización de medios taiwanesa no identificada para entregar una herramienta de equipo rojo de código abierto conocida como Google Command and Control (GC2) en medio de un abuso más amplio de la infraestructura de Google con fines maliciosos.
El Grupo de Análisis de Amenazas (TAG) del gigante tecnológico atribuyó la campaña a un actor de amenazas que rastrea bajo el apodo de temática geológica y geográfica. VUDÚque también se conoce con los nombres APT41, Bario, Bronze Atlas, Wicked Panda y Winnti.
El punto de partida del ataque es un correo electrónico de phishing que contiene enlaces a un archivo protegido con contraseña alojado en Google Drive, que, a su vez, incorpora la herramienta GC2 basada en Go para leer comandos de Hojas de cálculo de Google y filtrar datos utilizando el servicio de almacenamiento en la nube. .
«Después de la instalación en la máquina de la víctima, el malware consulta Google Sheets para obtener los comandos del atacante», la división de nube de Google dicho en su sexto Informe Threat Horizons. «Además de la exfiltración a través de Drive, GC2 permite al atacante descargar archivos adicionales de Drive al sistema de la víctima».
Google dijo que el actor de amenazas utilizó previamente el mismo malware en julio de 2022 para apuntar a un sitio web italiano de búsqueda de empleo.
El desarrollo es notable por dos razones: primero, sugiere que los grupos de amenazas chinos confían cada vez más en herramientas disponibles públicamente como Cobalt Strike y GC2 para confundir los esfuerzos de atribución.
En segundo lugar, también apunta a la creciente adopción de malware y herramientas escritas en el lenguaje de programación Go, debido a su compatibilidad multiplataforma y su naturaleza modular.
Google advirtió además que el «valor innegable de los servicios en la nube» los ha convertido en un objetivo lucrativo para los ciberdelincuentes y los actores respaldados por el gobierno, «ya sea como anfitriones de malware o proporcionando la infraestructura para comando y control (C2)».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Un ejemplo de ello es el uso de Google Drive para almacenar malware como Ursnif (también conocido como Gozi o ISFB) y DICELOADER (también conocido como Lizar o Tirion) en forma de archivos ZIP como parte de campañas de phishing dispares.
«El vector más común utilizado para comprometer cualquier red, incluidas las instancias en la nube, es tomar el control de las credenciales de una cuenta directamente: ya sea porque no hay contraseña, como ocurre con algunas configuraciones predeterminadas, o porque una credencial se ha filtrado o reciclado o es generalmente muy débil. como para ser adivinable», dijo Christopher Porter de Google Cloud.
Los hallazgos llegan tres meses después de que Google Cloud detallara los objetivos de APT10 (también conocido como Bronze Riverside, Cicada, Potassium o Stone Panda) de infraestructura en la nube y tecnologías VPN para violar entornos empresariales y filtrar datos de interés.