- Google, Mandiant, dan mitranya mengganggu kampanye spionase UNC2814
- Kelompok yang digunakan GridTide pintu belakang memanfaatkan Google Sheets API untuk C2
- Operasi tersebut menghantam 53 organisasi di 42 negara sejak tahun 2023; infrastruktur penyerang dan akun dinonaktifkan
Google telah berhasil menghancurkan jaringan spionase global yang menargetkan organisasi pemerintah dan telekomunikasi di lebih dari 40 negara di seluruh dunia.
Di sebuah laporan penelitian baruGoogle mengatakan bahwa Grup Intelijen Ancaman (GTIG), bersama dengan Mandiant dan mitra lainnya menemukan aktor ancaman yang berafiliasi dengan negara Tiongkok yang dilacak sebagai UNC2814 yang menjalankan kampanye mata-mata baru.
Dalam kampanye terbaru ini, kelompok tersebut menerapkan pintu belakang yang sebelumnya tidak terlihat perangkat lunak perusak disebut GridTide, yang memanfaatkan Google Sheets API untuk infrastruktur C2. Daripada terhubung ke server jarak jauh di suatu tempat untuk menerima instruksi dan mengekstrak data, pintu belakang membuat permintaan HTTPS ke infrastruktur Google yang sah, menyatu dengan lalu lintas perusahaan normal sehingga tidak menimbulkan alarm apa pun.
Mengganggu para penyerang
Semua perintah disimpan di a lembar kerja sel dokumen milik penyerang. Operator memasukkan instruksi yang disandikan ke dalam baris atau sel tertentu, dan malware kemudian secara berkala memeriksa, mendekode, dan mengeksekusinya.
Dalam beberapa kasus, data yang dieksfiltrasi juga dapat ditulis kembali ke dalam lembar – namun, GTIG mengatakan tidak mengamati adanya kasus eksfiltrasi data.
UNC2814 adalah aktor ancaman yang relatif dikenal, dengan laporan aktivitasnya sejak tahun 2017 dan mungkin sebelumnya.
Kampanye ini dimulai pada tahun 2023 dan berdampak pada setidaknya 53 organisasi di 42 negara. Google menduga UNC2814 hadir di setidaknya 20 negara lagi. Sebagian besar Amerika Latin, Eropa Timur, Rusia, sebagian Afrika, dan sebagian Asia Selatan tampaknya terkena dampaknya. Kecuali Portugal, Eropa Barat sebagian besar tidak terkena dampaknya. AS juga tidak tersentuh.
Sebagai bagian dari upaya gangguan tersebut, Google menghentikan semua Proyek Google Cloud yang dikontrol penyerang, sehingga memutus akses terus-menerus mereka ke lingkungan yang disusupi oleh GridTide. Mereka mengidentifikasi dan menonaktifkan semua infrastruktur UNC2814 yang diketahui, menonaktifkan akun penyerang, dan mencabut akses ke panggilan API Google Sheets. Terakhir, mereka merilis serangkaian IoC yang terkait dengan infrastruktur UNC2814 yang aktif setidaknya sejak tahun 2023.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
