Le groupe de piratage APT41, parrainé par l’État chinois, a été découvert en train d’abuser de l’outil d’équipe rouge GC2 (Google Command and Control) dans des attaques de vol de données contre un média taïwanais et une société italienne de recherche d’emploi.
APT 41, également connu sous le nom de HOODOO, est un groupe de piratage parrainé par l’État chinois connu pour cibler un large éventail d’industries aux États-Unis, en Asie et en Europe. Mandiant suit le groupe de piratage depuis 2014, affirmant que ses activités se chevauchent avec d’autres groupes de piratage chinois connus, tels que BARIUM et Winnti.
Dans le rapport Threat Horizons d’avril 2023 de Google, publié vendredi dernier, les chercheurs en sécurité de son groupe d’analyse des menaces (TAG) ont révélé qu’APT41 abusait de l’outil d’équipe rouge GC2 lors d’attaques.
GC2, également connu sous le nom de Google Command and Control, est un projet open source écrit en Go qui a été conçu pour les activités d’équipe rouge.
« Ce programme a été développé afin de fournir une commande et un contrôle qui ne nécessitent aucune configuration particulière (comme : un domaine personnalisé, VPS, CDN, …) pendant les activités de Red Teaming », lit-on dans le référentiel GitHub du projet.
« De plus, le programme n’interagira qu’avec les domaines de Google (*.google.com) pour rendre la détection plus difficile. »
Le projet consiste en un agent déployé sur des appareils compromis, qui se reconnecte ensuite à une URL Google Sheets pour recevoir des commandes à exécuter.
Ces commandes obligent les agents déployés à télécharger et à installer des charges utiles supplémentaires à partir de Google Drive ou à exfiltrer des données volées vers le service de stockage en nuage.
GC2 abusé dans les attaques
Selon le rapport de Google, TAG a interrompu une attaque de phishing APT41 contre une société de médias taïwanaise qui tentait de distribuer l’agent GC2 via des e-mails de phishing.
« En octobre 2022, le groupe d’analyse des menaces (TAG) de Google a interrompu une campagne de HOODOO, un attaquant soutenu par le gouvernement chinois également connu sous le nom d’APT41, qui ciblait une organisation médiatique taïwanaise en envoyant des e-mails de phishing contenant des liens vers un fichier protégé par mot de passe hébergé dans Drive. « , explique le rapport Google Threat Horizons.
« La charge utile était un outil d’équipe rouge open source appelé « Google Command and Control » (GC2). »
Google affirme qu’APT41 a également utilisé GC2 dans des attaques contre un site italien de recherche d’emploi en juillet 2022.
À l’aide de l’agent, Google indique que les acteurs de la menace ont tenté de déployer des charges utiles supplémentaires sur l’appareil et d’exfiltrer les données vers Google Drive, comme illustré dans le flux de travail d’attaque ci-dessous.
Bien que l’on ne sache pas quels logiciels malveillants ont été distribués lors de ces attaques, APT41 est connu pour déployer une grande variété de logiciels malveillants sur des systèmes compromis.
Un rapport Mandiant de 2019 explique que les acteurs de la menace utilisent des rootkits, des bootkits, des logiciels malveillants personnalisés, des portes dérobées, des logiciels malveillants de point de vente et même des rançongiciels lors d’un incident isolé.
Les acteurs de la menace sont également connus pour déployer le logiciel malveillant Winnti et le shell Web China Chopper, des outils couramment utilisés par les groupes de piratage chinois, et Cobalt Strike pour la persistance dans les réseaux compromis.
En 2020, le ministère de la Justice a inculpé trois ressortissants chinois soupçonnés de faire partie d’APT41 pour avoir mené des attaques sur la chaîne d’approvisionnement [CCleaner, ShadowPad, ShadowHammer], volé des données et violé des pays du monde entier.
Breachtrace a contacté Google pour en savoir plus sur les charges utiles qu’ils ont vues lors de ces attaques, mais aucune réponse n’était disponible dans l’immédiat.
Un passage à des outils légitimes
L’utilisation de GC2 par APT41 est un autre indicateur d’une tendance des acteurs de la menace à se tourner vers des outils légitimes d’équipe rouge et des plates-formes RMM dans le cadre de leurs attaques.
Bien que l’utilisation de Cobalt Strike dans les attaques soit répandue depuis des années, elle a également conduit à des investissements importants dans sa détection dans les attaques, ce qui la rend plus facilement repérable par les défenseurs.
Pour cette raison, les acteurs de la menace ont commencé à se tourner vers d’autres outils d’équipe rouge, tels que Brute Ratel et Sliver, pour échapper à la détection lors de leurs attaques.
Plus récemment, des gangs de rançongiciels ont commencé à abuser de l’outil de surveillance et de gestion à distance (RMM) Action1 pour persister sur des réseaux compromis et exécuter des commandes, des scripts et des fichiers binaires.
Malheureusement, comme pour tout outil qui peut aider les red teamers à effectuer des exercices ou aux administrateurs pour gérer un réseau à distance, ils peuvent également être abusés par les acteurs de la menace dans leurs propres attaques.