O Grupo de Inteligência de Ameaças do Google (GTIG), em parceria com a Mandiant e outros colaboradores, desmantelou uma campanha global de espionagem atribuída a um suposto ator de ameaça chinês.
Na operação, o grupo utilizava chamadas à API de serviços SaaS para mascarar o tráfego malicioso, tendo como alvos redes de telecomunicações e órgãos governamentais.
A campanha está ativa desde pelo menos 2023 e já afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos mais 20 países.
A forma inicial de acesso ainda é desconhecida, embora os pesquisadores ressaltem que o ator, identificado internamente pelo Google como UNC2814, tem histórico de exploração de vulnerabilidades em servidores web e sistemas de borda para invadir ambientes.
Na campanha recentemente interrompida, o grupo empregou um backdoor novo, escrito em C e nomeado ‘GRIDTIDE’.
Esse malware utiliza a API do Google Sheets para realizar operações de comando e controle (C2) de forma furtiva.
O GRIDTIDE autentica-se em uma Google Service Account por meio de uma chave privada embutida no código.
Ao ser executado, ele limpa a planilha, sanitizando as linhas 1 a 1000 e as colunas de A a Z.
Em seguida, realiza um reconhecimento do host, coletando informações como nome de usuário, hostname, detalhes do sistema operacional, IP local, região e fuso horário, registrando esses dados na célula V1.
A célula A1 funciona como canal de comunicação, onde o malware verifica constantemente comandos ou envia status.
Caso não haja mensagens, ele tenta a leitura a cada segundo, por até 120 tentativas, passando então a checagens aleatórias entre 5 e 10 minutos para evitar gerar tráfego suspeito.
Os comandos suportados pelo GRIDTIDE são:
- **C:** Executa comandos bash codificados em Base64, escrevendo o resultado na planilha.
- **U:** Upload de arquivo: recupera dados das células A2 até A<arg_2> e reconstrói o arquivo no caminho codificado em <arg_1>.
- **D:** Download de arquivo local: lê o arquivo <arg_1> na máquina infectada e envia seu conteúdo em fragmentos de aproximadamente 45 KB, distribuídos entre as células A2 até An.
As células A2 até An são usadas para armazenar saídas dos comandos, arquivos exfiltrados e também para upload de ferramentas.
De acordo com o Google, a comunicação entre o backdoor e o servidor C2 usa um esquema de codificação base64 seguro para URLs, que passa despercebido por ferramentas tradicionais de monitoramento web, misturando-se ao tráfego legítimo.
Em pelo menos um caso documentado, o GRIDTIDE foi detectado em um sistema contendo informações pessoais sensíveis (PII).
Entretanto, os pesquisadores não confirmaram diretamente um episódio de exfiltração de dados.
Para interromper as operações, Google, Mandiant e seus parceiros coordenaram ações que incluíram o encerramento de todos os projetos no Google Cloud controlados pelo UNC2814, a desativação da infraestrutura conhecida, a revogação de acessos à API do Google Sheets e o bloqueio de todos os projetos cloud usados nas operações C2.
Domínios atuais e históricos foram redirecionados para sinkholes.
As organizações afetadas foram notificadas diretamente e receberam suporte para remoção das infecções.
Ao final do relatório, o Google disponibilizou regras de detecção e indicadores de comprometimento (IoCs) para facilitar a identificação das ameaças.
Apesar da ampla desarticulação da campanha, o Google prevê que o grupo UNC2814 retome suas atividades em breve, utilizando novas infraestruturas.
Portanto, o alerta permanece ativo para proteger os ambientes que possam ser alvos dessa ameaça.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...