Un groupe d’États-nations chinois a ciblé une organisation médiatique taïwanaise anonyme pour fournir un outil d’équipe rouge open source connu sous le nom de Google Command and Control (GC2) au milieu d’un abus généralisé de l’infrastructure de Google à des fins malveillantes.
Le groupe d’analyse des menaces (TAG) du géant de la technologie a attribué la campagne à un acteur menaçant qu’il suit sous le surnom géologique et géographique. POISSEégalement connu sous les noms APT41, Baryum, Bronze Atlas, Wicked Panda et Winnti.
Le point de départ de l’attaque est un e-mail de phishing contenant des liens vers un fichier protégé par mot de passe hébergé sur Google Drive, qui, à son tour, intègre l’outil GC2 pour lire les commandes de Google Sheets et exfiltrer les données à l’aide du service de stockage en nuage.
« Après installation sur la machine victime, le malware interroge Google Sheets pour obtenir les commandes de l’attaquant », indique la division cloud de Google. a dit dans son sixième rapport Threat Horizons. « En plus de l’exfiltration via Drive, GC2 permet à l’attaquant de télécharger des fichiers supplémentaires de Drive sur le système victime. »
Google a déclaré que l’acteur de la menace avait précédemment utilisé le même logiciel malveillant en juillet 2022 pour cibler un site Web italien de recherche d’emploi.
Cette évolution est remarquable pour deux raisons : premièrement, elle suggère que les groupes de menaces chinois s’appuient de plus en plus sur des outils accessibles au public tels que Cobalt Strike et GC2 pour confondre les efforts d’attribution.
Deuxièmement, cela souligne également l’adoption croissante de logiciels malveillants et d’outils écrits dans le langage de programmation Go, en raison de sa compatibilité multiplateforme et de sa nature modulaire.
Google a en outre averti que la « valeur indéniable des services cloud » en a fait une cible lucrative pour les cybercriminels et les acteurs soutenus par le gouvernement, « soit en tant qu’hébergeurs de logiciels malveillants, soit en fournissant l’infrastructure de commande et de contrôle (C2) ».
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Un exemple concret est l’utilisation de Google Drive pour stocker des logiciels malveillants tels que Ursnif (alias Gozi) et DICELOADER (alias Lizar ou Tirion) sous la forme de fichiers d’archive ZIP dans le cadre de campagnes de phishing disparates.
« Le vecteur le plus couramment utilisé pour compromettre n’importe quel réseau, y compris les instances cloud, consiste à prendre directement en charge les informations d’identification d’un compte : soit parce qu’il n’y a pas de mot de passe, comme avec certaines configurations par défaut, soit parce qu’une information d’identification a été divulguée ou recyclée ou est généralement si faible. pour être devinable », a déclaré Christopher Porter de Google Cloud.
Les résultats surviennent trois mois après que Google Cloud a détaillé le ciblage d’APT10 (alias Bronze Riverside, Cicada, Potassium ou Stone Panda) de l’infrastructure cloud et des technologies VPN pour violer les environnements d’entreprise et exfiltrer les données d’intérêt.