Les cybercriminels ont ajouté un autre outil légitime à leur arsenal, préviennent les chercheurs en sécurité – mais cette fois-ci, c’est un projet open source de Google qui est abusé.
Des chercheurs en cybersécurité du Threat Analysis Group (TAG) de Google ont récemment révélé (s’ouvre dans un nouvel onglet) cet acteur menaçant parrainé par l’État chinois connu sous le nom d’APT41 utilise l’outil d’équipe rouge Google Command and Control (GC2) pour attaquer des organisations du monde entier.
TAG enquête généralement sur les acteurs parrainés par l’État, et ATP41 est un acteur menaçant connu sur lequel nous avons fait rapport au cours des trois dernières années. Apparemment, il est actif depuis 2014, et à cette époque, différents groupes de recherche sur la cybersécurité lui ont donné des noms différents : HOODOO, BARIUM, Winnti, BlackFly et autres.
La Chine a encore frappé
GC2 est le projet open source de Google conçu pour les activités d’équipe rouge. L’équipe rouge fait référence à la pratique consistant à remettre en question les plans et les systèmes comme le ferait un acteur menaçant. Grâce aux systèmes d’équipe rouge, les organisations peuvent surmonter les erreurs cognitives telles que le biais de confirmation qui peuvent souvent laisser des trous béants dans leurs défenses de cybersécurité.
« Ce programme a été développé afin de fournir une commande et un contrôle qui ne nécessitent aucune configuration particulière (comme : un domaine personnalisé, VPS, CDN, …) pendant les activités de Red Teaming », indique-t-il dans le référentiel GitHub de GC2.
« De plus, le programme n’interagira qu’avec les domaines de Google (*.google.com) pour rendre la détection plus difficile. »
Selon TAG, APT41 a utilisé GC2 lors d’attaques de phishing contre deux cibles, dont l’une est une société de médias à Taïwan.
« En octobre 2022, le groupe d’analyse des menaces (TAG) de Google a interrompu une campagne de HOODOO, un attaquant soutenu par le gouvernement chinois également connu sous le nom d’APT41, qui ciblait une organisation médiatique taïwanaise en envoyant des e-mails de phishing contenant des liens vers un fichier protégé par mot de passe hébergé dans Drive. « , affirme le rapport de la société.
« La charge utile était un outil d’équipe rouge open source appelé « Google Command and Control » (GC2). »
La deuxième cible était un site Web italien de recherche d’emploi. Les chercheurs affirment qu’APT 41 a tenté d’utiliser l’outil pour déployer des logiciels malveillants supplémentaires sur des terminaux cibles. (s’ouvre dans un nouvel onglet)sans détailler exactement quel malware.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)