Cyberkriminelle haben ihrem Arsenal ein weiteres legitimes Tool hinzugefügt, warnen Sicherheitsforscher – aber diesmal wird ein führendes Open-Source-Projekt von Google missbraucht.
Cybersicherheitsforscher der Threat Analysis Group (TAG) von Google kürzlich enthüllt (öffnet in neuem Tab) dass der chinesische staatlich geförderte Bedrohungsakteur APT41 das rote Teaming-Tool Google Command and Control (GC2) verwendet, um Organisationen auf der ganzen Welt anzugreifen.
TAG untersucht normalerweise staatlich geförderte Akteure, und ATP41 ist ein bekannter Bedrohungsakteur, über den wir in den letzten drei Jahren berichtet haben. Anscheinend ist es seit 2014 aktiv, und in dieser Zeit gaben ihm verschiedene Forschungsgruppen zur Cybersicherheit verschiedene Namen: HOODOO, BARIUM, Winnti, BlackFly und andere.
China schlägt erneut zu
GC2 ist das Open-Source-Projekt von Google, das für Red-Teaming-Aktivitäten entwickelt wurde. Red Teaming bezieht sich auf die Praxis, Pläne und Systeme so in Frage zu stellen, wie es ein Bedrohungsakteur tun würde. Durch Red-Teaming-Systeme können Unternehmen kognitive Fehler wie Bestätigungsverzerrungen überwinden, die oft klaffende Löcher in ihrer Cybersicherheitsabwehr hinterlassen können.
„Dieses Programm wurde entwickelt, um eine Steuerung und Kontrolle bereitzustellen, die während Red Teaming-Aktivitäten keine besondere Einrichtung (wie: eine benutzerdefinierte Domäne, VPS, CDN, …) erfordert“, heißt es im GitHub-Repository von GC2.
“Außerdem wird das Programm nur mit den Domains von Google (*.google.com) interagieren, um die Erkennung zu erschweren.”
Laut TAG verwendete APT41 GC2 bei Phishing-Angriffen auf zwei Ziele, von denen eines ein Medienunternehmen in Taiwan ist.
„Im Oktober 2022 störte die Threat Analysis Group (TAG) von Google eine Kampagne von HOODOO, einem von der chinesischen Regierung unterstützten Angreifer, auch bekannt als APT41, der auf eine taiwanesische Medienorganisation abzielte, indem er Phishing-E-Mails mit Links zu einer passwortgeschützten Datei versendete, die in Drive gehostet wurde “, heißt es im Bericht des Unternehmens.
„Die Nutzlast war ein Open-Source-Red-Teaming-Tool namens „Google Command and Control“ (GC2).“
Das zweite Ziel war eine Jobsuche-Website aus Italien. Die Forscher behaupten, APT 41 habe versucht, das Tool zu verwenden, um zusätzliche Malware auf Zielendpunkten bereitzustellen (öffnet in neuem Tab)ohne genau anzugeben, welche Malware.
Über: Piepender Computer (öffnet in neuem Tab)