Estás leyendo la publicación: Los hackers de APT41 abusan de la herramienta Red Teaming de Comando y Control de Google
APT41, un grupo de piratería patrocinado por el estado chino, llevó a cabo ataques de robo de datos tanto en un medio de comunicación taiwanés como en una empresa italiana de búsqueda de empleo.
Durante los ataques, se descubrió que el grupo estaba usando la herramienta de formación de equipos rojos GC2 (Google Command and Control) con fines maliciosos.
Según el Threat Analysis Group (TAG) del gigante tecnológico estadounidense, la campaña reciente fue llevada a cabo por un actor de amenazas conocido como HOODOO, al que rastrean y asocian con varios nombres como APT41, Bario, Bronze Atlas, Wicked Panda y Winnti, todos con temas geológicos o geográficos.
El grupo de piratería patrocinado por el estado chino, HOODOO (también conocido como APT41), es reconocido por su orientación a una amplia gama de industrias en los EE. UU., Asia y Europa.
El ataque generalmente comienza con un correo electrónico de phishing que contiene enlaces a un archivo protegido con contraseña almacenado en Google Drive.
Este archivo incluye la herramienta GC2, que está escrita en Go y permite a los atacantes leer comandos de Hojas de cálculo de Google y extraer datos mediante el servicio de almacenamiento en la nube.
Según el repositorio de GitHub del proyecto.””
Según BleepingComputer, el proyecto consiste en implementar un agente en dispositivos comprometidos que se conecta de nuevo a una URL de Hojas de cálculo de Google para recibir comandos para ejecutar.
Estos comandos solicitan a los agentes que descarguen e instalen cargas adicionales de Google Drive o exfiltren los datos robados al servicio de almacenamiento en la nube.
La herramienta de equipo rojo de código abierto, “” (GC2), se utilizó como carga útil en los ataques.
En julio de 2022, APT41 apuntó a un sitio web italiano de búsqueda de empleo utilizando GC2, según Google.
Los atacantes intentaron filtrar datos a Google Drive e instalar cargas útiles adicionales en el dispositivo comprometido a través del agente, como se ilustra en el flujo de trabajo de ataque proporcionado por Google.
La utilización de GC2 por parte de APT41 es otro ejemplo de una tendencia creciente entre los actores de amenazas para aprovechar las herramientas legítimas de red teaming y las plataformas RMM (Remote Monitoring and Management) en sus ataques.
