Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Google Threat Intelligence Group ujawnił kampanię cyberszpiegowską przypisaną klastrowi UNC6508, powiązanemu z Chińską Republiką Ludową. Operacja była wymierzona w organizacje z obszaru badań naukowych, medycyny oraz obronności w Ameryce Północnej i pokazała, że współczesne grupy APT coraz częściej łączą kompromitację aplikacji webowych z nadużyciem legalnych funkcji platform chmurowych.
W opisywanym scenariuszu atakujący nie ograniczyli się do kradzieży poświadczeń czy instalacji backdoora. Po uzyskaniu dostępu do środowiska wykorzystali natywne mechanizmy administracyjne Google Workspace do cichej eksfiltracji wiadomości e-mail, co znacząco utrudniało wykrycie incydentu.
W skrócie
- Atak przypisano klastrowi UNC6508, powiązanemu z Chinami.
- Punktem wejścia miały być publicznie dostępne serwery REDCap używane w środowiskach badawczych i medycznych.
- Napastnicy wdrożyli malware INFINITERED do kradzieży poświadczeń i utrzymania trwałości.
- Po przejęciu konta administratora utworzyli regułę zgodności treści w Google Workspace do automatycznego przekazywania wybranych wiadomości.
- Celem były dane związane z badaniami medycznymi, cyberbezpieczeństwem, zaawansowanymi technologiami i obronnością.
Kontekst / historia
Według ustaleń badaczy najwcześniejsze znane naruszenie miało miejsce we wrześniu 2023 roku, a aktywność atakujących trwała co najmniej do listopada 2025 roku. Kampania obejmowała podmioty z USA i Kanady, w tym instytucje kliniczne, ośrodki akademickie, wojskowe jednostki medyczne, organizacje branżowe oraz podmioty regulacyjne.
Skala i dobór ofiar sugerują szeroko zakrojony cel wywiadowczy. Nie chodziło o pojedynczą branżę, lecz o przecięcie sektorów zdrowia, nauki, nowych technologii i bezpieczeństwa narodowego. To szczególnie istotne w kontekście ochrony własności intelektualnej i informacji strategicznych.
Choć nie wskazano jednej konkretnej podatności jako źródła włamania, analitycy obserwowali zainteresowanie starszymi, podatnymi wersjami REDCap. W praktyce wpisuje się to w dobrze znany problem pozostawiania przestarzałych komponentów i buildów, które mogą zostać wykorzystane w atakach typu downgrade lub do eksploatacji niezałatanych błędów.
Analiza techniczna
Łańcuch ataku był wieloetapowy. Po uzyskaniu dostępu do serwera REDCap napastnicy prowadzili rekonesans wewnętrzny, pozyskiwali poświadczenia do baz danych i kont usługowych, a następnie wdrożyli web shell o nazwie „help.php”, który umożliwiał dalsze operacje i przesyłanie plików.
Centralnym elementem kampanii był malware INFINITERED. Złośliwy kod trojanizował legalne pliki REDCap i realizował trzy kluczowe funkcje: utrzymywał trwałość po aktualizacjach, przechwytywał loginy i hasła podczas uwierzytelniania oraz działał jako backdoor. Przechwycone dane były szyfrowane i ukrywane w lokalnych tabelach bazy danych, co ograniczało szanse na szybkie wykrycie.
Backdoor aktywowano przy użyciu odpowiednio spreparowanego parametru cookie HTTP. Dzięki temu operatorzy mogli wykonywać polecenia systemowe, uruchamiać zapytania SQL, przesyłać pliki i pobierać wcześniej zebrane dane. Tego typu mechanizm zapewniał elastyczność operacyjną i zmniejszał potrzebę stosowania głośniejszych technik działania.
Najbardziej nietypowy etap nastąpił po przejęciu konta administratora domeny. Atakujący wykorzystali regułę zgodności treści w Google Workspace, nadając jej nazwę „Patroit”. Reguła wyszukiwała w wiadomościach określone słowa kluczowe, wzorce i adresy e-mail, a następnie potajemnie dodawała ukryte przekazanie kopii wiadomości do kontrolowanej przez napastników skrzynki.
Z perspektywy detekcji była to technika wyjątkowo skuteczna. Eksfiltracja nie musiała przypominać klasycznego ruchu do infrastruktury C2, ponieważ opierała się na zaufanych, natywnych funkcjach platformy SaaS. W efekcie sam monitoring sieciowy lub analiza serwera pocztowego mogły nie wystarczyć do wykrycia nadużycia.
Konsekwencje / ryzyko
Incydent pokazuje ryzyko wynikające z połączenia kompromitacji aplikacji badawczej z nadużyciem usług chmurowych klasy enterprise. Organizacja może mieć dobrą widoczność w warstwie lokalnej, a mimo to przeoczyć etap wycieku danych, jeśli nie monitoruje zmian administracyjnych w środowisku SaaS.
Potencjalne skutki obejmują wyciek poufnej korespondencji badawczej, danych dotyczących projektów medycznych, informacji związanych z obronnością oraz materiałów dotyczących sztucznej inteligencji, systemów bezzałogowych i zdolności cybernetycznych. Dla uczelni, placówek medycznych i partnerów sektora publicznego oznacza to realne ryzyko utraty własności intelektualnej i osłabienia bezpieczeństwa łańcucha badawczo-rozwojowego.
Dodatkowym zagrożeniem jest długotrwałość takiego modelu działania. Jeśli napastnik utrzymuje dostęp do konta uprzywilejowanego i może modyfikować reguły zgodności lub przekierowania poczty, eksfiltracja może trwać miesiącami bez zauważalnych objawów po stronie użytkowników końcowych.
Rekomendacje
Organizacje korzystające z REDCap powinny w pierwszej kolejności zweryfikować, czy wszystkie publicznie dostępne instancje są aktualne oraz czy starsze wersje zostały całkowicie usunięte. Sama aktualizacja bez eliminacji legacy komponentów nie zamyka ryzyka związanego z wcześniejszą ekspozycją.
Niezbędny jest także przegląd integralności plików aplikacji REDCap pod kątem nieautoryzowanych modyfikacji, obecności web shelli i artefaktów wskazujących na działanie INFINITERED. Szczególną uwagę warto poświęcić plikom związanym z procesem aktualizacji, logowaniem oraz globalnymi hookami wykonywanymi podczas ładowania aplikacji.
Po stronie tożsamości i chmury priorytetem powinno być wdrożenie odpornego na phishing MFA dla wszystkich kont administracyjnych, rozdzielenie poświadczeń między domenami bezpieczeństwa oraz przegląd kont usługowych i nadanych aplikacjom uprawnień. Równie ważna jest regularna analiza logów audytowych Google Workspace, zwłaszcza zmian dotyczących reguł zgodności treści, przekierowań poczty, DLP i routingu wiadomości.
- wdrożenie alertów na tworzenie i modyfikację reguł compliance oraz forwarding,
- monitorowanie przekazywania wiadomości do zewnętrznych adresów,
- wykrywanie nietypowych logowań administratorów,
- analiza użycia poświadczeń z nowych lokalizacji i nietypowych adresów IP,
- korelacja zmian na serwerach REDCap z aktywnością administracyjną w usługach chmurowych.
Kluczowe jest również łączenie telemetrii aplikacyjnej, IAM oraz pocztowej w jednym procesie detekcyjnym. Incydent wyraźnie pokazuje, że izolowana analiza pojedynczego systemu może nie ujawnić pełnego obrazu operacji.
Podsumowanie
Kampania przypisana UNC6508 stanowi kolejny przykład ewolucji działań APT: od kompromitacji publicznie dostępnej aplikacji, przez długoterminowe przechwytywanie poświadczeń, po nadużycie legalnych funkcji administracyjnych w chmurze do cichej eksfiltracji danych. W tym przypadku zagrożeniem okazał się nie tylko sam malware, ale przede wszystkim umiejętne wykorzystanie zaufanych mechanizmów Google Workspace.
Dla zespołów bezpieczeństwa najważniejsza lekcja jest jasna: skuteczna ochrona środowisk badawczych i medycznych musi obejmować zarówno aplikacje brzegowe, jak i pełną kontrolę nad warstwą administracyjną usług SaaS. Bez audytu reguł pocztowych, logów administracyjnych i integralności systemów takich jak REDCap nawet zaawansowane operacje mogą przez długi czas pozostawać niezauważone.