谷歌威胁情报团队(GTIG)联手Mandiant及合作伙伴,揭露并破坏了代号为Gridtide的网络间谍行动,幕后一方为UNC2814。此次攻击横跨四大洲、涉及42个国家,已确认渗透53家企业组织,谷歌发布的影响地图显示台湾也在覆盖范围内,但并未披露具体受害单位。攻击者用C语言编写后门“Gridtide”,能执行Shell命令、上传与下载文件;更具隐蔽性的是,他们滥用Google Sheets与API作为命令与控制(C2)通道,使恶意流量看似合法,增加检测难度。事件由Mandiant在一台出现异常的CentOS服务器上发现:有二进制以root权限启动Shell并读取用户和群组识别信息。谷歌指出,入侵可能先从网页服务器或边缘系统展开,随后利用系统服务账号与SSH横向移动,采用寄生攻击(LotL)策略进行侦察、提权并建立持久化机制。研究人员在存放个人可识别信息(PII)的终端发现后门,虽未直接观测到明确的数据外泄过程,但高度怀疑针对特定人物的个人与通讯资料被窃取。谷歌强调该组织与其他已知团体在目标与战术上存在差异。安全建议包括加强对API与SaaS应用的监控、限制服务账号权限、审查异常的Google Sheets活动与SSH连接,并推动厂商间共享威胁情报,及时响应与补救对遏止此类间谍活动至关重要。
震惊!中国黑客把Google表格当C2,入侵50+电信与政府目标,台湾疑遭波及
