Chinesische Hackergruppe APT41 missbraucht Google Command and Control (GC2)-Tool für Angriffe
von Tina Siering
Bildquelle: Google
Google-Experten warnen davor, dass die staatlich geförderte chinesische Hackergruppe APT41 das Google Command and Control (GC2)-Tool missbraucht. Bekannt sind Angriffe auf taiwanesische Medienunternehmen und ein nicht genanntes italienisches Rekrutierungsunternehmen.
Google Command and Control ist ein in der Programmiersprache Go geschriebenes Open-Source-Programm, das zur Simulation von Angriffen entwickelt wurde und im Red Teaming zum Einsatz kommt.
APT 41 (auch bekannt als HOODOO) ist eine vom chinesischen Staat gesponserte Hackergruppe, die bekannt dafür ist, eine Vielzahl von Branchen in den USA, Asien und Europa anzugreifen. In der Vergangenheit wurde festgestellt, dass sich ihre Aktivitäten mit denen anderer bekannter chinesischer Hackergruppen wie BARIUM und Winnti überschneiden.
GC2 für Red-Team Operationen entwickelt
Google Command and Control wurde entwickelt, um während einer Red-Team-Operation eine Verwaltung und Kontrolle zu ermöglichen, die keine spezifische Konfiguration (z. B. benutzerdefinierte Domain, VPS, CDN usw.) erfordert. Das Programm interagiert ausschließlich mit Google-Domains (*.google.com), um eine Enttarnung zu erschweren.
GC2 sollte nur von legitimen Sicherheitsexperten und Red Teams verwendet werden, mit dem Ziel der Identifizierung und Behebung von Schwachstellen in Systemen.
Arbeitsweise: GC2 wird als Agent auf kompromittierten Geräten installiert. Er ermöglicht es einem Angreifer, Befehle über Google Sheet auf dem Zielcomputer auszuführen und zusätzliche Nutzdaten von Google Drive zu installieren, herunterzuladen oder gestohlene Daten in den Cloud-Speicherdienst zu exfiltrieren.
Quelle: Google
GC2 für Angriffe missbraucht – und vereitelt
Laut Googles Threat Horizons Report (April 2023) vereitelte die TAG einen APT41-Phishing-Angriff auf ein taiwanesisches Medienunternehmen, bei dem versucht wurde, den GC2-Agenten über Phishing-E-Mails zu verbreiten, die Links zu einer passwortgeschützten Datei auf Drive enthielten.
GC2 wurde auch bei Angriffen auf eine italienische Rekrutierungswebsite im Juli 2022 eingesetzt.
Obwohl nicht bekannt ist, welche Malware bei diesen Angriffen verbreitet wurde, ist die Gruppe APT41 dafür bekannt, eine Vielzahl von Malware auf kompromittierten Systemen zu installieren, darunter Rootkits, Bootkits, Winnti-Malware, Backdoors, Cobalt Strike oder Point-of-Sale-Malware, kurzum Tools, die häufig von chinesischen Hackergruppen verwendet werden.
Umstieg auf legitime Tools
Die Verwendung von GC2 durch APT41 ist ein weiterer Indikator für den Trend, dass Hackergruppen bei ihren Angriffen auf legitime, frei verfügbare und quelloffene Tools und Remote Monitoring and Management (RMM)-Plattformen zurückgreifen, um die Zuordnung von Angriffen zu erschweren.
Ein Grund dafür ist, dass Cobalt Strike in Angriffsmustern immer leichter zu erkennen ist.
Fazit
Unternehmen und Organisationen sollten daher wachsam bleiben und für die nötige Awareness und gezieltes Monitoring Ihrer Umgebung sorgen. Testen Sie Ihre Detektionsstrategien und Response-Prozesse.