Hackers estão usando a ferramenta de red team de comando e controle do Google para realizar ataques
19 de Abril de 2023

O grupo de hackers patrocinado pelo estado chinês APT41 foi encontrado abusando da ferramenta de red teaming GC2 (Google Command and Control) em ataques de roubo de dados contra uma empresa de mídia de Taiwan e uma empresa italiana de busca de empregos.

APT41, também conhecido como HOODOO, é um grupo de hackers patrocinado pelo estado chinês conhecido por visar uma ampla gama de indústrias nos EUA, Ásia e Europa.

A Mandiant tem monitorado o grupo de hackers desde 2014, dizendo que suas atividades se sobrepõem a outros grupos de hackers chineses conhecidos, como BARIUM e Winnti.

No relatório de Ameaças do Horizonte de Ameaças de Abril de 2023 do Google, divulgado na última sexta-feira, pesquisadores de segurança do Grupo de Análise de Ameaças (TAG) revelaram que a APT41 estava abusando da ferramenta de red teaming GC2 em ataques.

O GC2, também conhecido como Google Command and Control, é um projeto de código aberto escrito em Go que foi projetado para atividades de red teaming.

O projeto consiste em um agente que é implantado em dispositivos comprometidos, que então se conecta a uma URL do Google Sheets para receber comandos para executar.

Esses comandos fazem com que os agentes implantados baixem e instalem payloads adicionais do Google Drive ou exfiltrem dados roubados para o serviço de armazenamento em nuvem.

Segundo o relatório do Google, o TAG interrompeu um ataque de phishing da APT41 contra uma empresa de mídia taiwanesa que tentou distribuir o agente GC2 por meio de e-mails de phishing.

O Google diz que a APT41 também usou o GC2 em ataques contra um site italiano de busca de empregos em julho de 2022.

O uso do GC2 pela APT41 é outro indicador de uma tendência de atores de ameaças se movendo para ferramentas legítimas de red teaming e plataformas RMM como parte de seus ataques.

Infelizmente, como qualquer ferramenta que possa ajudar os red teamers a conduzir exercícios ou para administradores gerenciarem uma rede remotamente, elas também podem ser igualmente abusadas por atores de ameaças em seus próprios ataques.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...