Hackers abuse Google Command and Control red team tool in attacks
2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。
4月14日 (金) に発表された Google の April 2023 Threat Horizons Report では、同社の Threat Analysis Group (TAG) のセキュリティ研究者が、レッドチーム GC2 を APT41 が攻撃に悪用していることを明らかにした。
GC2 は、Google Command and Control としても知られ、レッドチーム活動用に設計され、Goで書かれたオープンソースのプロジェクトである。
このプロジェクトの GitHub リポジトリは「このプログラムは、レッドチーム活動中に特定のセットアップ (カスタムドメイン/VPS/CDN など) を必要としない、Command and Control 提供するために開発された。さらに、このプログラムは、検出をより困難にするために、Google のドメイン (*.google.com) のみと対話する」と記されている。
このプロジェクトは、侵害されたデバイスに展開されるエージェントで構成され、Google Sheets の URL に接続し直して、実行するコマンドを受け取る。
しかし、これらのコマンドにより、展開されたエージェントは、Google Drive から追加のペイロードをダウンロード/インストールし、盗んだデータをクラウド・ストレージ・サービスに流出させている。
攻撃で悪用される GC2
Google TAG のレポートによると、台湾のメディア企業に対して、フィッシング・メールを介して GC2 エージェントを配布しようする、APT41 フィッシング攻撃を阻止した。
Google Threat Horizons レポートでは、「2022年10月に Google TAG は、APT41 としても知られる中国政府の支援を受けた攻撃者である、HOODOO によるキャンペーンを阻止した。このグループは、Google Drive にホストされているパスワード保護ファイルへのリンクを埋め込んだ、フィッシング・メールを台湾のメディア組織に送信していた。そのペイロードは、Google Command and Control (GC2) と呼ばれる、オープンソースのレッドチーム・ツールだった」と説明している。
Google によると、2022年7月にも APT41 は、イタリアの求人検索サイトに対する攻撃で GC2 を使用していたとのことだ。
Google によると、このエージェントを悪用する脅威アクターは、以下の攻撃ワークフローに示されているように、デバイス上に追加のペイロードを展開し、Google Drive にデータを流出させようとした。
Source: Google
これらの攻撃で、マルウェアが配布された方法は不明だが、侵害したシステムに多種多様なマルウェアを配備すること、APT41 の特質だとされている。
2019年の Mandiant のレポートは、この脅威アクターが使用する戦術として、ルートキット/ブートキット/カスタムマルウェア/バックドア/POSマルウェアなどを挙げている。また、独立したインシデントでは、ランサムウェアも利用すると説明している。
この脅威アクターは、中国のハッキング・グループが多用するツールである、Winnti マルウェアと China Chopper ウェブシェルおよび、侵害したネットワークでの持続性のための Cobalt Strike を展開するとされている。
2020年に米司法省は、サプライチェーン攻撃 (CCleaner/ShadowPad/ShadowHammer)/データ窃盗などで、世界各国への侵害を行ったとして、APT41 の一員とみられる3人の中国人を起訴した。
BleepingComputer は、これらの攻撃で検出されたペイロードの詳細について Google に問い合わせたが、回答は直ぐに得られなかった。
正規ツールへのシフト
APT41 による GC2 の悪用は、脅威アクターが攻撃の一環として、正規のレッドチーム・ツールや RMM プラットフォームへと移行する傾向を示す、もう一つの指標となる。
攻撃における Cobalt Strike の悪用は、何年も前から広まっているが、Cobalt Strike 用いた攻撃の検出に多額の投資が行われ、より容易に発見できるようになってきた。
そのため、脅威アクターたちは、攻撃に対する検出を回避するために、Brute Ratel/Sliver などの他のレッドチーム・ツールに移行し始めている。
さらに最近では、いくつかのランサムウェア・ギャングが、侵害したネットワーク上でアクセスを持続し、コマンド/スクリプト/バイナリを実行するために、Action1 の Remote Monitoring and Management (RMM) ツールを悪用し始めている。
残念なことに、レッドチームによる演習において有用なツールは、管理者によるネットワーク・リモート管理に役立つツールと同様に、脅威アクターが実施する攻撃で悪用される可能性を持つ。
Google Command and Control (GC2) というレッドチーム・ツールがあることを、初めて知りましたが、これも Cobalt Strike のように悪用されてしまったようです。文中にもあるように、管理者による管理に役立つツールは、脅威アクターにとっても便利なツールであり、それらがクラック/悪用されるのは、時間の問題ということなのでしょう。また、Google は、April 2023 Threat Horizons Report というレポートも発行していますので、ご参照ください。
よろしければ、以下のリンクも、ご利用ください。
Cobalt Strike で検索
Brute Ratel で検索
Sliver で検索
IoT OT Security News 
You must be logged in to post a comment.