ハッカーが Google インフラストラクチャ (Google スプレッドシートとドライブ) で C2 サーバーをホストする方法

毎週のセキュリティ ニュースを読んでいると、Google Workspace のドライブとスプレッドシート (旧名 G-Suite) を使用して、ドライブとスプレッドシートをネイティブに通信および情報漏洩する方法についてのBleepingcomputer の記事を見つけました。

これは賢いプロジェクトだと思った理由は次のとおりです。

• ほとんどの C2 フレームワークのように、特定のドメインやサーバーを設定する必要はありません。 (そして、多くの防御ツールは、悪意のあるドメイン、IP などの動的なリストを維持しています)。

  
  

• これは、Cobalt Strike、SilverC2、または Brute Ratel などの一般的な C2 およびレッド チーム フレームワークを使用しません。

  
  

• このプログラムとトラフィックは、ツールによる検出をより困難にするために、Google のドメイン (*.google.com) とのみやり取りします。

注意:スマートEDRツールは、実行されている悪意のあるコマンドを識別できます。

この短いビデオでは、このプロジェクトをセットアップし、このプロジェクトの実行可能性をテストします。これは基本的に、このリポジトリを取得してコマンドを入力することを意味します。

必要に応じて、ビデオチュートリアルに従ってください。

被害マシンのシミュレーションとして、Digital Ocean 上の初歩的な Ubuntu 20.04 ホストを使用します。

これは、攻撃者が侵害後にマシンに展開する実行可能ファイルであることに注意してください。

そして、よくあることですが、注意事項はありますが、中国国家支援のハッキング グループと疑われる APT41 による最近の GC2 の使用は、このツールが実際に使用されていることを意味します。

私の経験の詳細については、ビデオをご覧ください。

このガイドについてどう思いましたか?以下のコメント欄でご質問をお聞かせください。