Skupina Google Threat Intelligence Group (GTIG), společnost Mandiant a jejich partneři narušili globální špionážní kampaň připisovanou podezřelému čínskému aktérovi, který využíval volání SaaS API ke skrytí škodlivého provozu při útocích na telekomunikační a vládní sítě.
Kampaň probíhá nejméně od roku 2023 a zasáhla 53 organizací ve 42 zemích, přičemž podezření na infekci panuje v nejméně 20 dalších zemích. Počáteční způsob průniku není znám, výzkumníci však uvádějí, že aktér, kterého Google interně sleduje pod označením UNC2814, v minulosti získával přístup zneužíváním zranitelností ve webových serverech a hraničních systémech.
Google uvádí, že v nedávno narušené kampani aktér nasadil nový backdoor napsaný v jazyce C s názvem GRIDTIDE, který zneužívá Google Sheets API pro skryté operace řízení a kontroly (C2). GRIDTIDE se ověřuje vůči účtu Google Service Account pomocí pevně zakódovaného soukromého klíče a po spuštění vyčistí tabulku smazáním řádků 1–1000 a sloupců A až Z.
Následně provede průzkum hostitele, přičemž shromáždí uživatelské jméno, název počítače, podrobnosti o operačním systému, lokální IP adresu, nastavení jazyka a časové pásmo, a tato data zaznamená do buňky V1. První buňka tabulky A1 slouží jako příkazová a stavová buňka, kterou GRIDTIDE nepřetržitě sleduje za účelem přijímání instrukcí. Pokud nějaké existují, malware je přepíše stavovým řetězcem. Pokud je buňka prázdná, malware se pokusí o opětovné načtení každou sekundu po dobu 120 pokusů, poté přejde na náhodné kontroly v intervalech 5–10 minut, aby snížil nápadnost provozu.
GRIDTIDE podporuje následující příkazy: spuštění příkazů bash zakódovaných v Base64 s výpisem výstupu do tabulky, nahrávání souborů rekonstrukcí dat z buněk tabulky a stahování lokálních souborů z koncového bodu odesíláním jejich obsahu v fragmentech přibližně 45 KB. Buňky A2 až An slouží k zápisu výstupu příkazů, exfiltrovaných souborů a nahrávaných nástrojů.
Google uvádí, že komunikace GRIDTIDE s C2 využívá schéma kódování base64 bezpečného pro URL, které obchází detekci nástroji pro monitorování webu a splývá s běžným provozem. V nejméně jednom případě Google potvrdil, že GRIDTIDE byl nasazen na systému obsahujícím citlivé osobní údaje, výzkumníci však přímo nepozorovali exfiltraci dat.
Google, Mandiant a jejich partneři přijali koordinovaná opatření k narušení kampaně – ukončili všechny projekty Google Cloud ovládané skupinou UNC2814, deaktivovali známou infrastrukturu, zrušili přístup k Google Sheets API a zakázali všechny cloudové projekty využívané pro operace C2. Stávající i historické domény byly přesměrovány na sinkhole servery. Organizace zasažené malwarem GRIDTIDE byly přímo informovány a byla jim nabídnuta pomoc s odstraněním infekcí.
Přestože bylo narušení kampaně komplexní, Google očekává, že skupina UNC2814 v blízké budoucnosti obnoví svou činnost s využitím nové infrastruktury.
Zdroj: bleepingcomputer.com
