Grup peretasan yang disponsori negara China APT41 ditemukan menyalahgunakan alat tim merah GC2 (Google Command and Control) dalam serangan pencurian data terhadap media Taiwan dan perusahaan pencari kerja Italia.
APT 41, juga dikenal sebagai HOODOO, adalah grup peretasan yang disponsori negara Tiongkok yang dikenal menargetkan berbagai industri di AS, Asia, dan Eropa. Mandiant telah melacak grup peretasan sejak 2014, mengatakan aktivitasnya tumpang tindih dengan grup peretas China lain yang dikenal, seperti BARIUM dan Winnti.
Dalam Laporan Cakrawala Ancaman Google April 2023, yang dirilis Jumat lalu, peneliti keamanan di Grup Analisis Ancaman (TAG) mengungkapkan bahwa APT41 menyalahgunakan alat tim merah GC2 dalam serangan.
GC2, juga dikenal sebagai Google Command and Control, adalah proyek sumber terbuka yang ditulis dalam Go yang dirancang untuk aktivitas tim merah.
“Program ini telah dikembangkan untuk memberikan perintah dan kontrol yang tidak memerlukan pengaturan khusus (seperti: domain kustom, VPS, CDN, …) selama kegiatan Red Teaming,” bunyi proyek tersebut. repositori GitHub.
“Selain itu, program hanya akan berinteraksi dengan domain Google (*.google.com) untuk mempersulit pendeteksian.”
Proyek ini terdiri dari agen yang diterapkan pada perangkat yang disusupi, yang kemudian terhubung kembali ke URL Google Spreadsheet untuk menerima perintah yang akan dijalankan.
Perintah ini menyebabkan agen yang diterapkan mendownload dan menginstal muatan tambahan dari Google Drive atau mengekstrak data yang dicuri ke layanan penyimpanan cloud.
GC2 disalahgunakan dalam serangan
Menurut laporan Google, TAG mengganggu serangan phishing APT41 terhadap perusahaan media Taiwan yang berusaha mendistribusikan agen GC2 melalui email phishing.
“Pada bulan Oktober 2022, Grup Analisis Ancaman Google (TAG) mengganggu kampanye dari HOODOO, penyerang yang didukung pemerintah Tiongkok yang juga dikenal sebagai APT41, yang menargetkan organisasi media Taiwan dengan mengirimkan email phishing yang berisi tautan ke file yang dilindungi kata sandi yang dihosting di Drive ,” jelas sang Laporan Google Threat Horizons.
“Muatannya adalah alat kerja tim merah open source yang disebut “Google Command and Control” (GC2).”
Google mengatakan bahwa APT41 juga menggunakan GC2 dalam serangan terhadap situs pencarian kerja Italia pada Juli 2022.
Dengan menggunakan agen tersebut, Google mengatakan bahwa pelaku ancaman berusaha untuk menyebarkan muatan tambahan pada perangkat dan mengekstraksi data ke Google Drive, seperti yang diilustrasikan dalam alur kerja serangan di bawah ini.
Sumber: Google
Meskipun tidak diketahui malware apa yang didistribusikan dalam serangan ini, APT41 diketahui menyebarkan berbagai macam malware pada sistem yang disusupi.
A Laporan Mandin 2019 menjelaskan bahwa pelaku ancaman menggunakan rootkit, bootkit, malware khusus, pintu belakang, malware Point of Sale, dan bahkan ransomware dalam insiden yang terisolasi.
Pelaku ancaman juga telah diketahui menggunakan malware Winnti dan web shell China Chopper, alat yang biasa digunakan oleh kelompok peretas China, dan Cobalt Strike untuk tetap bertahan di jaringan yang disusupi.
Pada tahun 2020, Departemen Kehakiman mendakwa tiga warga negara China diyakini menjadi bagian dari APT41 untuk melakukan serangan rantai pasokan [CCleaner, ShadowPad, ShadowHammer]pencurian data, dan pelanggaran terhadap negara di seluruh dunia.
BleepingComputer menghubungi Google untuk mempelajari lebih lanjut tentang muatan yang mereka lihat dalam serangan ini, tetapi tanggapan tidak segera tersedia.
Pergeseran ke alat yang sah
Penggunaan GC2 oleh APT41 adalah indikator lain dari tren pelaku ancaman yang beralih ke alat tim merah yang sah dan platform RMM sebagai bagian dari serangan mereka.
Ketika penggunaan Cobalt Strike dalam serangan telah tersebar luas selama bertahun-tahun, ini juga menghasilkan investasi yang signifikan untuk mendeteksinya dalam serangan, membuatnya lebih mudah ditemukan oleh para pembela HAM.
Karena itu, pelaku ancaman mulai beralih ke alat tim merah lainnya, seperti Ratel kasar Dan Sliveruntuk menghindari deteksi selama serangan mereka.
Baru-baru ini, geng ransomware telah mulai menyalahgunakan Action1 alat pemantauan dan manajemen jarak jauh (RMM) untuk kegigihan pada jaringan yang disusupi dan untuk menjalankan perintah, skrip, dan binari.
Sayangnya, seperti halnya alat apa pun yang dapat membantu anggota tim merah melakukan latihan atau bagi admin untuk mengelola jaringan dari jarak jauh, mereka juga dapat disalahgunakan oleh pelaku ancaman dalam serangan mereka sendiri.
