APT41利用Google工具进行攻击

关键要点

• 中方赞助的APT41组织针对意大利求职网站和台湾媒体进行数据外泄攻击
• 攻击利用了Google的Command and Control红队工具
• 攻击行为表明威胁演员越来越倾向于使用合法的红队工具
• Google的威胁分析组成功阻止了针对台湾媒体的网络钓鱼攻击

根据的报道，中国政府支持的APT41（也称为HOODOO、Winnti和Barium）针对一家意大利求职网站和一家台湾媒体公司进行了数据外泄攻击，攻击中利用了Google的Commandand Control红队工具（GC2）。据Google的ThreatHorizons报告显示，APT41在去年7月针对意大利求职机构发起的攻击中利用了该工具，借此促进后续有效载荷的传递及数据外泄到谷歌云端硬盘。

此外，台湾媒体公司在10月也遭遇了网络钓鱼邮件，邮件中包含指向GC2有效载荷的链接，但这一活动已被Google的威胁分析组成功遏制。这些发现表明，威胁演员在攻击手法上持续转向使用合法的红队工具及远程监控和管理软件。随着恶意CobaltStrike的使用变得更容易被检测，攻击者们现在转而使用Sliver和Brute Ratel红队工具，以及Action1 RMM工具。

攻击组织 | 目标 | 攻击工具
—|—|—
APT41 | 意大利求职网站 | Google Command and Control (GC2)
APT41 | 台湾媒体公司 | 网络钓鱼链接指向GC2

相关链接： –

这种趋势显示出网络攻击的复杂性加剧，同时也提醒各个行业加强防范，以应对不断演变的网络威胁。