- 13,885
- 20
- 8 Ноя 2022
Исследователи наблюдают восходящую тенденцию на использование китайскими киберпреступниками общедоступных хакерских инструментов.
Спонсируемая правительством Китая группа кибербандитов атаковала неназванную тайваньскую организацию в сфере медиа при помощи целого пакета общедоступных сервисов и инструментов Google .
Специалисты Google TAG Для просмотра ссылки Войдиили Зарегистрируйся , что за вредоносной кампанией стоит активная как минимум с 2007 года китайская группировка HOODOO, также известная как APT41, Barium, Bronze Atlas, Wicked Panda и Winnti.
Отправной точкой атаки является фишинговое электронное письмо, содержащее ссылку на защищенный паролем файл, размещенный на Google Диске. Этот файл включает в себя общедоступный Red Teaming -инструмент « Для просмотра ссылки Войдиили Зарегистрируйся » (GC2), разработанный энтузиастами и используемый злоумышленниками для чтения вредоносных команд из Google Таблиц, а также Для просмотра ссылки Войди или Зарегистрируйся жертвы в облачное пространство хакеров на том же Google Диске.
Схема атаки APT41 с использованием инфраструктуры Google
Специалисты Google заявили, что данные злоумышленники ранее уже использовали похожие методы, включающие применение GC2, в июле 2022 года во время атаки на итальянский веб-сайт поиска работы.
Исследование Google примечательно тем, что раскрывает сразу две набирающие обороты тенденции. Первая тенденция заключается во всё более частом использовании китайскими группами злоумышленников общедоступных инструментов, таких как Cobalt Strike , GC2, чтобы запутать исследователей безопасности и скрыть источник атаки. Вторая тенденция указывает на растущее распространение вредоносных программ и инструментов, написанных на языке программирования Go , благодаря его модульности и кроссплатформенной совместимости.
Компания Google также предупредила, что повсеместная доступность и удобство облачных сервисов сделало их желаемым и полезным инструментом не только для простых пользователей, но и для киберпреступников, использующих эти сервисы для распространения вредоносных программ и эксфильтрации данных.
Спонсируемая правительством Китая группа кибербандитов атаковала неназванную тайваньскую организацию в сфере медиа при помощи целого пакета общедоступных сервисов и инструментов Google .
Специалисты Google TAG Для просмотра ссылки Войди
Отправной точкой атаки является фишинговое электронное письмо, содержащее ссылку на защищенный паролем файл, размещенный на Google Диске. Этот файл включает в себя общедоступный Red Teaming -инструмент « Для просмотра ссылки Войди
Схема атаки APT41 с использованием инфраструктуры Google
Специалисты Google заявили, что данные злоумышленники ранее уже использовали похожие методы, включающие применение GC2, в июле 2022 года во время атаки на итальянский веб-сайт поиска работы.
Исследование Google примечательно тем, что раскрывает сразу две набирающие обороты тенденции. Первая тенденция заключается во всё более частом использовании китайскими группами злоумышленников общедоступных инструментов, таких как Cobalt Strike , GC2, чтобы запутать исследователей безопасности и скрыть источник атаки. Вторая тенденция указывает на растущее распространение вредоносных программ и инструментов, написанных на языке программирования Go , благодаря его модульности и кроссплатформенной совместимости.
Компания Google также предупредила, что повсеместная доступность и удобство облачных сервисов сделало их желаемым и полезным инструментом не только для простых пользователей, но и для киберпреступников, использующих эти сервисы для распространения вредоносных программ и эксфильтрации данных.
- Источник новости
- www.securitylab.ru
