Китайские хакеры APT41 активно используют облачную инфраструктуру Google в своих атаках

Спонсируемая правительством Китая группа кибербандитов атаковала неназванную тайваньскую организацию в сфере медиа при помощи целого пакета общедоступных сервисов и инструментов Google .

Специалисты Google TAG не сомневаются , что за вредоносной кампанией стоит активная как минимум с 2007 года китайская группировка HOODOO, также известная как APT41, Barium, Bronze Atlas, Wicked Panda и Winnti.

Отправной точкой атаки является фишинговое электронное письмо, содержащее ссылку на защищенный паролем файл, размещенный на Google Диске. Этот файл включает в себя общедоступный Red Teaming -инструмент « Google Command and Control » (GC2), разработанный энтузиастами и используемый злоумышленниками для чтения вредоносных команд из Google Таблиц, а также эксфильтрации данных жертвы в облачное пространство хакеров на том же Google Диске.

Схема атаки APT41 с использованием инфраструктуры Google

Специалисты Google заявили, что данные злоумышленники ранее уже использовали похожие методы, включающие применение GC2, в июле 2022 года во время атаки на итальянский веб-сайт поиска работы.

Исследование Google примечательно тем, что раскрывает сразу две набирающие обороты тенденции. Первая тенденция заключается во всё более частом использовании китайскими группами злоумышленников общедоступных инструментов, таких как Cobalt Strike , GC2, чтобы запутать исследователей безопасности и скрыть источник атаки. Вторая тенденция указывает на растущее распространение вредоносных программ и инструментов, написанных на языке программирования Go , благодаря его модульности и кроссплатформенной совместимости.

Компания Google также предупредила, что повсеместная доступность и удобство облачных сервисов сделало их желаемым и полезным инструментом не только для простых пользователей, но и для киберпреступников, использующих эти сервисы для распространения вредоносных программ и эксфильтрации данных.