استهدفت مجموعة من الدول القومية الصينية منظمة إعلامية تايوانية لم تذكر اسمها لتقديم أداة فرق حمراء مفتوحة المصدر تُعرف باسم القيادة والتحكم من Google ( GC2 ) وسط إساءة استخدام أوسع للبنية التحتية لشركة Google لأغراض ضارة.
عزت مجموعة تحليل التهديدات (TAG) التابعة لشركة التكنولوجيا العملاقة الحملة إلى عامل تهديد تتعقبه تحت لقب HOODOO الجيولوجي والجغرافي ، والمعروف أيضًا بأسماء APT41 و Barium و Bronze Atlas و Wicked Panda و Winnti .
نقطة البداية للهجوم هي رسالة بريد إلكتروني تصيدية تحتوي على روابط لملف محمي بكلمة مرور مستضاف على Google Drive ، والذي بدوره يشتمل على أداة GC2 لقراءة الأوامر من جداول بيانات Google واستخراج البيانات باستخدام خدمة التخزين السحابي.
قال قسم السحابة في Google في تقرير Threat Horizons السادس : "بعد التثبيت على جهاز الضحية ، تستعلم البرامج الضارة" جداول بيانات Google "للحصول على أوامر المهاجم . "بالإضافة إلى التسلل عبر Drive ، يتيح GC2 للمهاجم تنزيل ملفات إضافية من Drive إلى نظام الضحية."
وقالت جوجل إن الممثل الذي يمثل التهديد استخدم في السابق نفس البرنامج الضار في يوليو 2022 لاستهداف موقع إيطالي للبحث عن وظائف.
التطور جدير بالملاحظة لسببين: أولاً ، يشير إلى أن مجموعات التهديد الصينية تعتمد بشكل متزايد على الأدوات المتاحة للجمهور مثل Cobalt Strike و GC2 للتشويش على جهود الإسناد.
ثانيًا ، يشير أيضًا إلى الاعتماد المتزايد للبرامج الضارة والأدوات المكتوبة بلغة برمجة Go ، نظرًا لتوافقها عبر الأنظمة الأساسية وطبيعتها المعيارية.
حذرت Google كذلك من أن "القيمة التي لا يمكن إنكارها للخدمات السحابية" جعلتها هدفًا مربحًا لمجرمي الإنترنت والجهات الفاعلة المدعومة من الحكومة على حد سواء ، "إما كمضيفين للبرامج الضارة أو توفير البنية التحتية للقيادة والتحكم (C2)."
ومن الأمثلة على ذلك استخدام Google Drive لتخزين البرامج الضارة مثل Ursnif (المعروف أيضًا باسم Gozi) و DICELOADER (المعروف أيضًا باسم Lizar أو Tirion) في شكل ملفات أرشيف بتنسيق ZIP كجزء من حملات التصيد المختلفة.
"المتجه الأكثر شيوعًا المستخدم لخرق أي شبكة ، بما في ذلك المثيلات السحابية هو الاستيلاء على بيانات اعتماد الحساب مباشرة: إما بسبب عدم وجود كلمة مرور ، كما هو الحال مع بعض التكوينات الافتراضية ، أو بسبب تسريب بيانات الاعتماد أو إعادة استخدامها أو كونها ضعيفة بشكل عام يمكن تخمينها "، قال كريستوفر بورتر من Google Cloud.
تأتي النتائج بعد ثلاثة أشهر من قيام Google Cloud بتفصيل APT10 (المعروف أيضًا باسم Bronze Riverside أو Cicada أو Potassium أو Stone Panda) لاستهداف البنية التحتية السحابية وتقنيات VPN لخرق بيئات المؤسسات وتسلل البيانات ذات الأهمية.