Группа по анализу угроз Google (GTIG), Mandiant и партнеры пресекли глобальную шпионскую кампанию, связываемую с предполагаемым китайским злоумышленником, который использовал вызовы API SaaS для сокрытия вредоносного трафика в атаках, нацеленных на телекоммуникационные и правительственные сети.
Кампания была активна как минимум с 2023 года и затронула 53 организации в 42 странах, при этом предполагаемые заражения зафиксированы еще как минимум в 20 странах.
Вектор первоначального доступа неизвестен, однако исследователи отмечают, что злоумышленник, которого Google отслеживает под внутренним именем UNC2814, ранее получал доступ путем эксплуатации уязвимостей в веб-серверах и граничных системах.
Google сообщает, что в рамках недавно пресеченной кампании злоумышленник развернул новый бэкдор на языке C под названием «GRIDTIDE», который злоупотребляет API Google Sheets для скрытных операций командно-контрольного центра (C2).
GRIDTIDE проходит аутентификацию в Сервисном аккаунте Google с использованием жестко закодированного закрытого ключа, а после запуска очищает таблицу, удаляя строки с 1 по 1000 и столбцы от A до Z.
Затем он выполняет разведку хоста, собирая имя пользователя, имя хоста, сведения об ОС, локальный IP-адрес, языковой стандарт и часовой пояс, и записывает эти данные в ячейку V1.
Ячейка A1 в таблице является ячейкой команд/статуса, которую GRIDTIDE постоянно опрашивает для получения инструкций.
При наличии команд вредоносное ПО перезаписывает их строкой статуса. Если ячейка пуста, вредоносное ПО повторяет попытку каждую секунду в течение 120 раз, после чего переключается на случайные проверки с интервалом 5–10 минут для снижения шума.
Команды, поддерживаемые GRIDTIDE:
- C – выполнить команды bash, закодированные в Base64, записать вывод в лист
- U – загрузка (upload): взять данные из A2:A<arg_2> и реконструировать/записать файл по закодированному пути к файлу <arg_1>
- D – скачивание (download): прочитать локальный файл <arg_1> на конечной точке, отправить содержимое фрагментами по ~45 КБ в A2:An
Ячейки A2-An используются для записи вывода команд, эксфильтрованных файлов и загрузки инструментов.
Google сообщает, что обмен данными GRIDTIDE с C2 основан на схеме кодирования base64, безопасной для URL-адресов, что позволяет избежать обнаружения инструментами веб-мониторинга и маскироваться под обычный трафик.
Как минимум в одном случае Google подтвердила, что GRIDTIDE был развернут на системе, содержащей конфиденциальную личную информацию (PII). Однако исследователи не наблюдали прямой эксфильтрации данных.
Google, Mandiant и партнеры предприняли скоординированные действия для пресечения кампании: были прекращены все проекты Google Cloud, контролируемые UNC2814, отключена известная инфраструктура, отозван доступ к Google Sheets API и отключены все облачные проекты, используемые в операциях C2. Текущие и исторические домены были перенаправлены (sinkholed).
Организации, пострадавшие от GRIDTIDE, были уведомлены напрямую, и им была предложена помощь в устранении заражений.
Google привела правила обнаружения в конце отчета, а также индикаторы компрометации (IoC).
Несмотря на всеобъемлющее пресечение кампании, Google ожидает, что UNC2814 возобновит активность с использованием новой инфраструктуры в ближайшем будущем.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
