Google hat eine Intervention gegen die Infrastruktur angekündigt, die von einer Cyber-Espionage-Gruppe verwendet wird, die sie als UNC2814 verfolgen, Schauspielern mit angeblichen Links zu China zugeschrieben, nachdem sie Beweise für Verpflichtungen in Dutzenden von Organisationen auf der ganzen Welt gefunden. Laut Googles Bedrohungs-Geheimdienst-Team zusammen mit externen Partnern, die Kampagne betroffen Entitäten auf mehreren Kontinenten und auf unkonventionelle Techniken, um ihre bösartige Aktivität in legitimen Cloud-Diensten zu verstecken. Die Intervention umfasste die Deaktivierung von Google Cloud-Projekten, die von Angreifern kontrolliert werden, und den Widerruf des Zugriffs auf API-Konten und Anrufe, die als Befehls- und Kontrollkanal missbraucht wurden.( Google-Bericht)
Die zentrale Komponente von Forschern ist eine neue Backdoor namens GRIDTIDE, entwickelt in C-Sprache, die die Google Sheets API als Kommunikationskanal nutzt. Anstatt traditionelle C2-Server zu verwenden, schreiben und lesen Angreifer Zellen in Tabellenkalkulationen, um Bestellungen zu senden, Befehlsergebnisse zu erhalten und Dateien zu übertragen. Diese Technik wandelt den Verkehr um, der auf das bloße Auge gut aussehen scheint - Anfragen an eine API eines Produktivitätsdienstes - in einen kontinuierlichen und schwierigen Kontrollkanal, um von der legitimen Nutzung zu unterscheiden.
In der Praxis implementiert GRIDTIDE einen Zellumfrage-Mechanismus: bestimmte Positionen auf dem Blatt fungieren als Befehlskästen, andere als temporäre Einlagen für die Ausgabe von Befehlen und Dateien, und einige mehr als Aufzeichnungen des infizierten Systems. Die Malware ermöglicht es Ihnen, Dateien hochzuladen und herunterzuladen und Shell-Befehle remote auszuführen, so dass es ein komplettes Tool für Erkennung, Informationsextraktion und Persistenzeinstellung. Obwohl Google während der beschriebenen Kampagne keinen massiven Datentransfer außerhalb der kompromittierten Netzwerke beobachtete, fanden sie, dass Malware in Endpunkten installiert wurde, die identifizierbare personenbezogene Daten enthielten, eine deutliche Anzeige von Interesse an selektiver Überwachung und Cyberespionage.
Die Angriffe zeigen auch ein Muster von Netzumfang und Infrastrukturressourcen. Die Forscher weisen darauf hin, dass die ersten Akteure durch Verpflichtungen auf Webservern und Geräten am Rande des Netzes Zugang zu erhalten scheinen und dann mit Servicekonten und SSH-Verbindungen seitlich innerhalb der Unternehmensumgebungen bewegt werden. Es ist üblich, dass diese Gegner "Living-off-the-land" Binaries - legitime Werkzeuge des Betriebssystems - verwenden, um Anerkennung zu implementieren, Privilegien und Startcode zu erhöhen, ohne einfach die Verteidigung zu aktivieren, die ihre Erkennung erschwert.
Um zu konsolidieren, nutzten die Angreifer traditionelle Methoden der Beharrlichkeit in Linux-Systemen, wodurch ein System-Service, der die böswillige binäre auf einer wiederkehrenden Basis ausgeführt. Die Nutzung der SoftEther VPN Bridge wurde auch beobachtet, um ausgehende verschlüsselte Kanäle auf externe Richtungen zu etablieren; gerade die Sicherheitsgemeinschaft hat die Verwendung von SoftEther in früheren Operationen dokumentiert, die auf Gruppen im Zusammenhang mit China zurückzuführen sind, wegen ihrer Flexibilität und weil es Tunneln schwer erlaubt, von legitimen VPN-Verkehr zu unterscheiden ( Weich Ether Projektstandort)
Google beschreibt die Kampagne als eine der umfangreichsten und weitreichenden, die sie in den letzten Jahren gesehen haben, mit Verpflichtungen bestätigt oder vermutet in einer sehr großen Anzahl von Ländern und Zielen einschließlich Telekommunikationsbetreiber und Regierungsbehörden. Als Teil seiner Antwort eliminierte der Lieferant die von den Angreifern kontrollierte Cloud-Infrastruktur und gab den betroffenen Organisationen formelle Mitteilungen, zusätzlich zur aktiven Unterstützung von Opfern mit verifizierten Intrusionen. Das Unternehmen warnt, dass, obwohl die Deaktivierung ein bedeutender Schlag ist, diese Gruppen investieren oft Jahre in den Aufbau des dauerhaften Zugangs und wird arbeiten, um sich wieder herzustellen.
Der Fall von GRIDTIDE zeigt mehrere Herausforderungen, denen moderne Verteidigung gegenübersteht: einerseits die Verwendung von APIs und SaaS-Diensten als C2-Kanäle zwingt uns zu überdenken, welchen Verkehr wir als "Vertrauen" betrachten; andererseits bleibt der Rand des Netzes - Geräte und Dienstleistungen, die dem Internet ausgesetzt sind - ein privilegiertes Ziel, weil viele dieser Geräte Mangel an Malware-Erkennung und, wenn sie begangen, einen direkten Weg zu internen Ressourcen bieten. Eine jüngste Analyse von Trends am Rand zeigt, wie diese Oberflächen zu attraktiven Zielen für globale Intrusionen geworden sind ( GrauNoise Bericht)
Für Organisationen, die über diese Art von Bedrohung betroffen sind, ist die Lektion doppelt: Sowohl die Sicherheit und die Kontrolle des Umfangs und die Überwachung der Verwendung von APIs und Cloud-Service-Konten müssen gestärkt werden. Es wird empfohlen, Service-Account-Berechtigungen zu überprüfen und zu beschränken, ungewöhnliche Anrufe auf Drittanbieter-APIs zu überwachen, die Verwendung von administrativen Werkzeugen zu erfassen und zu analysieren und Netzwerksegmentierung anzuwenden, die die laterale Bewegungskapazität begrenzt. Es ist auch wichtig, klare Verfahren zu haben, um Anmeldeinformationen zu widerrufen und Cloud-Projekte zu Zeichen des Engagements zu schließen, wie Google in diesem Fall.
Kurz gesagt, die Operation gegen UNC2814 und GRIDTIDE zeigen, wie Gegner die Kreativität vorantreiben, indem sie legitime Dienste nutzen, um ihre Tätigkeit zu verbergen. Der Schutz vor anspruchsvollen Kampagnen erfordert die Kombination kontinuierlicher Überwachungs-, Identitäts- und Zugangskontrollen sowie einer koordinierten schnellen Reaktionskapazität zwischen Cloud-Anbietern und betroffenen Organisationen. Die gute Nachricht ist, dass koordinierte Aktionen wie die oben beschriebene einen wesentlichen Teil des Schadens mildern und die Angreifer dazu zwingen können, ihre Infrastruktur wieder herzustellen, obwohl sie selbst die langfristige Bedrohung nicht beseitigen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...