Hackers están utilizando una herramienta de Google para realizar ataques
Investigadores descubrieron que el grupo de hackers patrocinado por el estado chino APT41 estaba usando la herramienta de trabajo de equipo rojo GC2 (Google Command and Control) en ataques de robo de datos contra un medio de comunicación taiwanés y una empresa italiana de búsqueda de empleo.
APT 41, también conocido como HOODOO, es un grupo de hackers patrocinado por el estado chino, conocido por atacar a una amplia gama de industrias en los Estados Unidos, Asia y Europa. Mandiant ha estado rastreando al grupo de hackers desde 2014, afirmando que sus actividades se superponen con las de otros grupos de hackers chinos conocidos, como BARIUM y Winnti.
En el informe Threat Horizons de abril de 2023 de Google, publicado el viernes pasado, los investigadores de seguridad en su Threat Analysis Group (TAG) revelaron que APT41 estaba abusando de la herramienta de equipo rojo GC2 en los ataques.
Equipo rojo
Por si aún no lo sabes, los equipos rojos (red teams) son “hackers éticos” que ayudan a probar las defensas de una organización mediante la identificación de vulnerabilidades y el lanzamiento de ataques en un entorno controlado. Los equipos rojos se oponen a los defensores llamados equipos azules, y ambas partes trabajan juntas para brindar una imagen integral de la preparación para la seguridad de la organización.
En el ámbito de la seguridad informática, los buenos a menudo visten de rojo, mientras se hacen pasar por los malos.
Esa es una referencia a la práctica del “equipo rojo”, una metodología que ayuda a las organizaciones a identificar y rectificar las deficiencias mediante el uso de un grupo externo para probar sus sistemas, defensas o estrategias operativas.
Si bien el equipo rojo a menudo se asocia con la seguridad de la información, la práctica también se sigue en las comunidades de inteligencia y gobierno.
Ahora bien, GC2, también conocido como Google Command and Control, es un proyecto de código abierto escrito en Go que fue diseñado para actividades de equipos rojos.
“Este programa ha sido desarrollado para proporcionar un comando y control que no requiere ninguna configuración particular (como: un dominio personalizado, VPS, CDN, …) durante las actividades de Red Teaming“.
“Además, el programa interactúa solo con los dominios de Google (*.google.com) para dificultar la detección”.
Declaración en el repositorio de GitHub del proyecto
El proyecto consta de un agente que se implementa en dispositivos comprometidos, que luego se vuelve a conectar a una URL de Hojas de Cálculo de Google para recibir comandos para ejecutar.
Estos comandos hacen que los agentes desplegados descarguen e instalen payloads adicionales de Google Drive o extraigan datos robados al servicio de almacenamiento en la nube.
GC2 usado en ataques
Según el informe de Google, TAG interrumpió un ataque de phishing de APT41 contra una empresa de medios taiwanesa. El ataque intentaba distribuir el agente GC2 a través de correos electrónicos de phishing.
“En octubre de 2022, Threat Analysis Group (TAG) de Google interrumpió una campaña de HOODOO. HOODOO es un atacante respaldado por el gobierno chino también conocido como APT41. La campaña se dirigía a una organización de medios taiwanesa mediante el envío de correos electrónicos de phishing que contenían enlaces a un archivo protegido por contraseña alojado en Drive”.
“El payload era una herramienta de equipo rojo de código abierto llamada “Google Command and Control” (GC2)”.
Explicación en el informe de Google Threat Horizons.
Google dice que APT41 también usó GC2 en ataques contra un sitio web italiano de búsqueda de empleo en julio de 2022.
Usando el agente, Google dice que los atacantes intentaron implementar payloads adicionales en el dispositivo y filtrar datos a Google Drive, como se ilustra en el flujo de trabajo de ataque a continuación.
Si bien no se sabe qué malware se distribuyó en estos ataques, se sabe que APT41 implementa una amplia variedad de malware en sistemas comprometidos.
Arsenal de herramientas
Un informe de Mandiant de 2019 explicó que los atacantes utilizan rootkits, bootkits y malware personalizado. Asimismo, utilizan puertas traseras, malware de punto de venta e incluso ransomware en un incidente aislado.
También sabemos que los hackers implementan el malware Winnti y el shell web China Chopper. Estas herramientas son comúnmente utilizadas por grupos de hackers chinos. Además, utilizan Cobalt Strike para ganar persistencia en redes comprometidas.
En 2020, el Departamento de Justicia de Estados Unidos acusó a tres ciudadanos chinos que se creía que formaban parte de APT41 por realizar ataques a la cadena de suministro [CCleaner, ShadowPad, ShadowHammer], robo de datos e infracciones contra países de todo el mundo.
Diversos medios se pusieron en contacto con Google para obtener más información sobre los payloads que vieron en estos ataques, pero no obtuvieron una respuesta de inmediato.
Un cambio a herramientas legítimas
El uso de GC2 por parte de APT41 es otro indicador de una tendencia de los hackers que se trasladan a herramientas legítimas de equipo rojo y plataformas RMM como parte de sus ataques.
Si bien el uso de Cobalt Strike en los ataques se ha generalizado durante años, también ha dado lugar a importantes inversiones para detectarlo en los ataques. Esto hace que los defensores lo detecten más fácilmente.
Debido a esto, los atacantes han comenzado a cambiar a otras herramientas de equipo rojo, como Brute Ratel y Sliver, para evadir la detección durante sus ataques.
Más recientemente, las bandas de ransomware han comenzado a abusar de la herramienta de administración y monitoreo remoto (RMM) Action1 para persistir en redes comprometidas y ejecutar comandos, scripts y archivos binarios.
Desafortunadamente, al igual que con cualquier herramienta que pueda ayudar a los equipos rojos a realizar ejercicios o a los administradores a administrar una red de forma remota, los atacantes también pueden abusar de ellas en sus propios ataques.