Bir Çin ulus-devlet grubu, Google’ın altyapısının kötü amaçlar için daha geniş bir şekilde kötüye kullanılmasının ortasında, Google Komuta ve Kontrol (GC2) olarak bilinen açık kaynaklı bir kırmızı ekip oluşturma aracı sağlamak için isimsiz bir Tayvanlı medya kuruluşunu hedef aldı.
Teknoloji devinin Tehdit Analizi Grubu (TAG), kampanyayı jeolojik ve coğrafi temalı takma ad altında izlediği bir tehdit aktörüne bağladı. UĞURSUZLUKAPT41, Barium, Bronze Atlas, Wicked Panda ve Winnti isimleriyle de bilinir.
Saldırının başlangıç noktası, Google E-Tablolar’dan komutları okumak ve bulut depolama hizmetini kullanarak verileri çalmak için GC2 aracını içeren Google Drive’da barındırılan parola korumalı bir dosyaya bağlantılar içeren bir kimlik avı e-postasıdır.
Google’ın bulut bölümü altıncı Tehdit Ufukları Raporunda, “Kötü amaçlı yazılım, kurban makineye yüklendikten sonra, saldırgan komutları almak için Google E-Tablolar’ı sorgular” dedi. “Drive üzerinden sızmaya ek olarak GC2, saldırganın Drive’dan kurbanın sistemine ek dosyalar indirmesine olanak tanır.”
Google, tehdit aktörünün daha önce aynı kötü amaçlı yazılımı Temmuz 2022’de bir İtalyan iş arama web sitesini hedeflemek için kullandığını söyledi.
Gelişme iki nedenden dolayı dikkate değer: Birincisi, Çinli tehdit gruplarının ilişkilendirme çabalarını karıştırmak için Cobalt Strike ve GC2 gibi halka açık araçlara giderek daha fazla bel bağladığını gösteriyor.
İkinci olarak, platformlar arası uyumluluğu ve modüler yapısı nedeniyle, kötü amaçlı yazılımların ve Go programlama dilinde yazılmış araçların giderek daha fazla benimsenmesine de işaret ediyor.
Google ayrıca, “bulut hizmetlerinin inkar edilemez değerinin”, onları “kötü amaçlı yazılım barındırıcıları olarak veya komuta ve kontrol (C2) için altyapı sağlarken” siber suçlular ve benzer şekilde devlet destekli aktörler için kazançlı bir hedef haline getirdiği konusunda uyardı.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Farklı kimlik avı kampanyalarının bir parçası olarak Ursnif (aka Gozi) ve DICELOADER (aka Lizar veya Tirion) gibi kötü amaçlı yazılımları ZIP arşiv dosyaları biçiminde depolamak için Google Drive’ın kullanılması buna bir örnektir.
“Bulut örnekleri de dahil olmak üzere herhangi bir ağı tehlikeye atmak için kullanılan en yaygın vektör, bir hesabın kimlik bilgilerini doğrudan ele geçirmektir: ya bazı varsayılan yapılandırmalarda olduğu gibi parola olmadığı için ya da bir kimlik bilgisi sızdırılmış ya da geri dönüştürülmüş ya da genellikle çok zayıf olduğu için. Tahmin edilebileceği gibi,” dedi Google Cloud’dan Christopher Porter.
Bulgular, Google Cloud’un APT10’ları (diğer adıyla Bronze Riverside, Cicada, Potassium veya Stone Panda) kurumsal ortamları ihlal etmek ve ilgili verileri sızdırmak için bulut altyapısını ve VPN teknolojilerini hedeflemesinden üç ay sonra geldi.