Google, zusammen mit Mandiant und anderen Partnern, schaffte es, eine Cyber-Espionage-Kampagne, die seit mindestens 2023 funktioniert und die nach ihrer Forschung Dutzende von Organisationen auf der ganzen Welt betroffen. Die Bedrohung wird einem Schauspieler zugeschrieben, den Google intern als UNC2814 identifiziert und die gemeldeten Opfer über 50 Organisationen in mehr als 40 Ländern, mit Anzeichen von zusätzlichen Infektionen in etwa 20 Nationen.
Was diesen Angriff besonders genial macht - und gefährlich - ist die Verwendung legitimer Cloud-Dienste als Kanal von Befehl und Kontrolle. In diesem Fall entwickelten die Angreifer eine C-geschriebene Backdoor, die die Google Sheets API nutzt, um mit ihren Betreibern zu kommunizieren und bösartigen Verkehr zwischen Anrufen zu einem scheinbar harmlosen Service zu verstecken. Verwenden von SaaS APIs als C2-Fahrzeug reduziert Geräusche und verhindert die Erkennung durch herkömmliche Webüberwachungstools denn der Verkehr scheint der legitimen Aktivität von Google zu entsprechen.
Die technische Beschreibung, die Forscher veröffentlicht haben, erklärt, dass Malware - genannt GRIDTIDE - mit einem Google-Service-Konto mit einem privaten Schlüssel in der Binär eingebettet. Zu Beginn reinigt die Probe das Kommunikationsblatt, baut einen großen Block von Zeilen und Spalten, um es als Kanal bereit zu machen. Es sammelt dann Daten von der verübten Ausrüstung - Benutzer, Computername, Betriebssystemversion, lokale IP, regionale Konfiguration und Zeitzone - und schreibt sie in einer bestimmten Zelle. Cell A1 fungiert als Kontrollkästchen: Die Malware konsultiert kontinuierlich, um Bestellungen zu empfangen und reagiert mit einem Zustand, wenn Sie die Anweisungen bearbeitet haben.
Das Arbeitsprotokoll, das Google beschreibt, enthält ein Umfrageverhalten, das dazu bestimmt ist, die Wahrscheinlichkeit des Erkennens zu reduzieren: Wenn die Befehlszelle leer ist, versucht der Client, es jede Sekunde für eine umsichtige Zeit zu lesen und dann Änderungen an zufälligen Abständen zu überprüfen. Die Aufträge, die GRIDTIDE akzeptiert, umfassen die Ausführung von codierten Befehlen auf Base64 in einem Shell-Interpreter, das Lesen von lokalen Dateien, um sie fragmentiert auf das Blatt zu senden und die Rekonstruktion von Dateien hochgeladen aus den Blattzellen. Um die Informationsbetreiber zu verpacken, verwenden Sie ein URLs-kompatibles Base64-System, das in den Augen vieler Tools mit normalem Verkehr gemischt wird.
Diese Art von Techniken - die Nutzung von Cloud-Diensten und öffentlichen APIs für C2 - ist nicht neu, aber seine Verwendung von Akteuren, die bisher auf kritische Infrastruktur und Telekommunikationsbetreiber ausgerichtet sind, hebt Besorgnis hervor. Google und seine Verbündeten weisen darauf hin, dass die genaue Kette, wie sie ersten Zugriff in dieser Kampagne bekam, noch nicht klar ist, obwohl UNC2814 eine Geschichte der Kompromisse von Webservern und Edge-Geräten durch die Ausbeutung bekannter Schwachstellen hat.
Die Antwort wurde koordiniert und stark: Die beteiligten Teams haben den Zugriff widerrufen, Google Cloud-Projekte im Zusammenhang mit dem Schauspieler deaktiviert, die Anmeldeinformationen der Google Sheets API für den Betrieb aufgehoben und die bekannte Infrastruktur, einschließlich Synkholes für Kampagnen-Domains, neutralisiert. Darüber hinaus wurden die betroffenen Organisationen direkt kontaktiert, um die Reinigung der Intrusionen zu unterstützen. Die Aktionen verhinderten, dass der Kanal der Blätter für den Schauspieler nützlich blieb, aber die Forscher warnen, dass es sehr wahrscheinlich ist, dass die Gruppe wieder Operationen mit neuer Infrastruktur.
Die technische Veröffentlichung von Google umfasst Erkennungsregeln und Verpflichtungsindikatoren, mit denen Sicherheitsteams nach GRIDTIDE Spuren in ihrer Umgebung suchen können. Für diejenigen, die Cloud-Umgebungen verwalten, ist der Vorfall eine Erinnerung an die Überprüfung von Praktiken wie Service-Account-Management, Schlüsseldrehung und die Zuordnung von minimalen erforderlichen Genehmigungen. Es wird auch empfohlen, anormale Gebrauchsmuster von APIs - zum Beispiel atypische Schriften und Lesungen auf Blättern oder Verkehr mit codierten Inhalten zu überwachen, die nicht einer legitimen Aktivität entsprechen - und Warnungen für die Verwendung von Servicekonten aus dem gewöhnlichen zu haben.
Wenn Sie Forschung und technische Details vertiefen möchten, ist Googles Bericht über die Kampagnenunterbrechung auf Google Clouds Blog verfügbar: Zerstörende GRIDTIDE: globale Spionagekampagne. Um die Bedrohung für die Praxis des Missbrauchs von APIs und Cloud-Diensten zu kontextualisieren, können Sie die offizielle Dokumentation der beteiligten APIs überprüfen, wie zum Beispiel die Google Sheets API und die Führung auf Servicekonten in Google Cloud. Ein technischer Presseartikel, der die Nachrichten und ihren Umfang umfasst, bietet eine Synthese, die für Nichtspezialisten zugänglich ist: BleepingComputer - Google Störungen GRIDIDE. Es ist auch nützlich, Referenzrahmen wie MITRE ATT & CK zu überprüfen, wie diese Art von C2 in bekannte Techniken passt: T1071 - Application Layer Protocol.
Über die unmittelbare Antwort hinaus ist die Lektion für Unternehmen und Administratoren klar: Cloud-Plattformen und öffentliche APIs bieten enorme Vorteile, können aber auch als verdeckte Kanäle von anspruchsvollen Akteuren genutzt werden. Cloud-Sicherheit erfordert nicht nur traditionelle Perimeter-Kontrollen, sondern spezifische Sichtbarkeit und Telemetrie bei der Verwendung von APIs und Anmeldeinformationen sowie Antwortpläne, die bei der Erkennung von Missbrauch schnell den ordnungsgemäßen Zugriff absagen und mit Lieferanten koordinieren können.
Inzwischen werden die Nachrichten- und Antwortteams die Bewegung von UNS2814 und anderen Gruppen mit ähnlichen Techniken weiter überwachen. In einer Welt, in der das Cloud-Ökosystem allgegenwärtig ist, wird die Fähigkeit, atypische Muster in legitimen Dienstleistungen zu erkennen und gemeinsam zwischen Lieferanten und Opfern zu handeln, zunehmend entscheidend sein, um solche Kampagnen einzudämmen.
Wenn Sie Geschäftsumgebungen verwalten, überprüfen Sie die offiziellen Referenzen und teilen Sie die IoC und Erkennungsregeln von Google mit Ihrem Sicherheitsteam, um zu beurteilen, ob es Exposition in Ihren Systemen und, falls erforderlich, spezielle Unterstützung zu verlangen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...