Il gruppo di ricercatori di sicurezza informatica Google TAG ha identificato un nuovo modus operandi dei cyber criminali cinesi di APT41. Negli ultimi due attacchi, di cui uno in Italia, è stato rilevato l’utilizzo di strumenti legittimi di Google stesso per sferrare i propri assalti informatici.
Indice degli argomenti
Scoperto uso improprio di GC2 da parte di APT41
Per il tema degli attacchi provenienti da entità cyber cinesi si è scoperto che uno dei gruppi guidati dal governo, APT41, ha condotto attacchi abusando di uno strumento di .pentesting open source di Google, Google Command and Control. Non richiede alcuna configurazione speciale e colpisce solo i domini di Google, il che rende il rilevamento più difficile.
Google Command and Control (GC2), è uno strumento di red teaming open source che, appunto, è stato utilizzato come payload. Secondo Google, nel luglio 2022, APT41 ha lanciato attacchi contro un sito web di ricerca di lavoro italiano utilizzando GC2.
Il gruppo pare l’abbia adattato per i server C2 che inviano comandi a dispositivi compromessi tramite Google Sheets. Mentre, invece, con Google Drive si procede a scaricare malware e utilizzare il cloud per rubare dati.
Inoltre, va sottolineato che gli aggressori hanno scoperto anche un altro software legittimo: Action1 per il controllo remoto. Diversi gruppi lo utilizzano per fornire malware e fino a cento punti vendita si può utilizzare il software in maniera gratuita. Il pericolo che si sta verificando è una replica, immaginiamo, di ciò che finora avveniva con Cobalt Strike. Si tratta di un abuso di strumenti legittimi, ma potenzialmente pericolosi se utilizzati in maniera malevola.
Secondo il repository GitHub del progetto, “Questo programma è stato progettato per offrire un sistema di comando e controllo durante le attività di Red Teaming che non necessita di alcuna configurazione speciale (come: un dominio personalizzato, VPS, CDN ecc.)”. Per evitare il rilevamento, il software si collegherà solo ai siti web che terminano con *.google.com.
Quali sono i rischi
Sebbene non sia noto quale malware sia stato distribuito in questi attacchi, è noto che APT41 distribuisce un’ampia varietà di malware su sistemi compromessi, inclusi rootkit, bootkit, malware personalizzato, backdoor, malware per punti vendita e persino ransomware in un incidente isolato.
In definitiva, Google afferma che lo stesso virus è stato utilizzato già nel luglio 2022 per attaccare un sito Web di ricerca di lavoro italiano. Questo tipo di eventi sono rilevanti da un lato per suggerire che le organizzazioni di minacce cinesi utilizzano sempre più strumenti pubblicamente disponibili come Cobalt Strike e GC2 per confondere l’attribuzione (e quindi ritardare eventuali rilevamenti).
In secondo luogo, grazie alla sua modularità e interoperabilità multipiattaforma, il malware e gli strumenti scritti in Go stanno diventando sempre più popolari.
