عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة TOUGHPROGRESS البرمجيات الخبيثة

TOUGHPROGRESS البرمجيات الخبيثة

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف باحثون أن مجموعة التهديد الصينية المدعومة من الدولة، APT41، تستغل برمجية خبيثة تم اكتشافها حديثًا تُسمى TOUGHPROGRESS. تستخدم هذه البرمجية الخبيثة المتطورة تقويم جوجل كقناة قيادة وتحكم (C2)، مما يسمح لـ APT41 بدمج الأنشطة غير الآمنة مع حركة المرور المشروعة.

اكتشاف حملة خفية

اكتُشف النشاط لأول مرة في أواخر أكتوبر 2024، حيث استُضيف برنامج TOUGHPROGRESS على موقع إلكتروني حكومي مُخترق. ونُشر خصيصًا لاستهداف جهات حكومية أخرى، مستغلًا خدمات السحابة لإخفاء عملياته وتجنب الكشف.

APT41: عدو مألوف

APT41، والتي يتم تعقبها أيضًا باسم Axiom وBlackfly وBrass Typhoon (المعروف سابقًا باسم Barium) وBronze Atlas وEarth Baku وHOODOO وRedGolf وRed Kelpie وTA415 وWicked Panda وWinnti، هي مجموعة دول قومية سيئة السمعة معروفة بهجماتها على الشحن العالمي والخدمات اللوجستية والإعلام والتكنولوجيا والسيارات.

في يوليو 2024، استهدفت مجموعة APT41 العديد من المؤسسات في إيطاليا وإسبانيا وتايوان وتايلاند وتركيا والمملكة المتحدة باستخدام مزيج من أدوات الويب وأدوات الإسقاط مثل ANTSWORD وBLUEBEAM وDUSTPAN وDUSTTRAP. وفي مارس 2024، استهدفت مجموعة فرعية ضمن APT41 شركات يابانية في قطاعات التصنيع والمواد والطاقة ضمن حملة تُعرف باسم RevivalStone.

سلسلة هجمات خادعة

تبدأ أحدث سلسلة هجمات موثقة برسائل بريد إلكتروني احتيالية موجهة تُرسل رابطًا إلى أرشيف ZIP مُستضاف على الموقع الحكومي المُخترق. يحتوي ملف ZIP على دليل واختصار Windows (LNK) مُتنكرين في شكل مستند PDF. يبدو أن الدليل يحتوي على سبع صور لمفصليات الأرجل (من 1.jpg إلى 7.jpg).

تبدأ العدوى عندما ينقر الضحية على LNK، مما يُفعّل ملف PDF وهميًا يدّعي وجوب الإعلان عن الأنواع المدرجة للتصدير. مع ذلك، فإن الملفين "6.jpg" و"7.jpg" صورتان مزيفتان. في الواقع، الملف الأول عبارة عن حمولة مشفرة، يُفك تشفيرها بواسطة ملف ثانٍ، وهو ملف DLL يُنفّذ عند تفعيل LNK. يستخدم البرنامج الخبيث أساليب خفية مثل حمولات الذاكرة فقط، والتشفير، والضغط، وتعتيم تدفق التحكم لتجنب الكشف.

المراحل الثلاث لنشر البرامج الضارة

يتكون البرنامج الخبيث من ثلاثة مكونات مميزة، كل منها يؤدي دورًا حاسمًا:

  • PLUSDROP: ملف DLL يقوم بفك تشفير المرحلة التالية في الذاكرة وتنفيذها.
  • PLUSINJECT: يقوم بإجراء عملية إفراغ على عملية 'svchost.exe' المشروعة لحقن الحمولة النهائية.
  • TOUGHPROGRESS: البرنامج الخبيث الرئيسي الذي يستغل Google Calendar لـ C2.

    • استغلال تقويم Google للقيادة والتحكم

    يتفاعل TOUGHPROGRESS مع تقويم جوجل الذي يتحكم به المهاجم لقراءة الأحداث وكتابتها، ويخزن البيانات المُحصّلة في أوصاف الأحداث، مع ضبط أحداث الدقيقة صفر على تاريخ مُبرمج مسبقًا (2023-05-30). يقوم البرنامج الخبيث بفحص الأوامر المشفرة المُضافة إلى أحداث التقويم يومي 30 و31 يوليو 2023، ثم فك تشفيرها، وتنفيذها على الجهاز المُخترق. تُعاد النتائج إلى التقويم ليتمكن المهاجمون من استرجاعها.

    جوجل تتخذ إجراءً

    تدخلت جوجل بإزالة تقويم جوجل الاحتيالي وإنهاء مشاريع Workspace المرتبطة به، مما أدى إلى تفكيك هذه البنية التحتية الخبيثة. تم تنبيه المؤسسات المتضررة، لكن النطاق الكامل للحملة لا يزال مجهولاً.

    تاريخ APT41 في إساءة استخدام السحابة

    هذه ليست المرة الأولى التي تتلاعب فيها APT41 بخدمات جوجل لأغراض خبيثة. ففي أبريل 2023، استهدفت APT41 مؤسسة إعلامية تايوانية، حيث زوّدت أداة جوجل للتحكم والقيادة (GC2) عبر ملفات محمية بكلمة مرور على جوجل درايف. بمجرد نشرها، سمحت GC2 للمهاجمين بقراءة الأوامر من جداول بيانات جوجل واستخراج البيانات باستخدام جوجل درايف.

    الشائع

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    33,799
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...