Зловреден софтуер TOUGHPROGRESS
Изследователи откриха, че спонсорираният от китайската държава злонамерен софтуер APT41 използва новоидентифициран зловреден софтуер, наречен TOUGHPROGRESS. Този усъвършенстван зловреден софтуер използва Google Календар като канал за командване и контрол (C2), позволявайки на APT41 да смесва опасна активност с легитимен трафик.
Съдържание
Откриването на тайна кампания
Активността е открита за първи път в края на октомври 2024 г., като TOUGHPROGRESS е хостван на компрометиран правителствен уебсайт. Той е бил специално разположен, за да се насочи към други правителствени организации, като се възползва от облачните услуги, за да маскира операциите си и да избегне откриването.
APT41: Познат враг
APT41, проследявана още като Axiom, Blackfly, Brass Typhoon (преди Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda и Winnti, е известна национално-държавна групировка, известна с атаките си срещу глобалния корабоплавателен, логистичен, медиен, технологичен и автомобилен сектор.
През юли 2024 г. APT41 насочи атаките си към множество организации в Италия, Испания, Тайван, Тайланд, Турция и Обединеното кралство, използвайки комбинация от уеб обвивки и дропъри като ANTSWORD, BLUEBEAM, DUSTPAN и DUSTTRAP. По-рано, през март 2024 г., подгрупа в рамките на APT41 насочи атаките си към японски компании в секторите на производството, материалите и енергетиката като част от кампания, известна като RevivalStone.
Верига от измамни атаки
Последната документирана верига от атаки започва с фишинг имейли, предоставящи линк към ZIP архив, хостван на компрометирания правителствен сайт. Вътре в ZIP файла се намира директория и пряк път за Windows (LNK), маскиран като PDF документ. Директорията изглежда съдържа седем изображения на членестоноги („1.jpg“ до „7.jpg“).
Инфекцията започва, когато жертвата щракне върху LNK, задействайки PDF файл-примамка, който твърди, че изброените видове трябва да бъдат декларирани за експорт. „6.jpg“ и „7.jpg“ обаче са фалшиви изображения. В действителност първият файл е криптиран полезен товар, декриптиран от втори файл - DLL, който се изпълнява при активиране на LNK. Зловредният софтуер използва стелт тактики като полезен товар само за паметта, криптиране, компресия и обфускация на контролния поток, за да избегне откриване.
Трите етапа на внедряване на зловреден софтуер
Зловредният софтуер се състои от три отделни компонента, всеки от които изпълнява ключова роля:
- PLUSDROP: DLL, която декриптира и изпълнява следващия етап в паметта.
- PLUSINJECT: Извършва издълбаване на процес в легитимен процес „svchost.exe“, за да инжектира крайния полезен товар.
- TOUGHPROGRESS: Основният зловреден софтуер, който използва Google Calendar за C2.
Използване на Google Календар за командване и контрол
TOUGHPROGRESS взаимодейства с контролиран от хакера Google Календар, за да чете и записва събития, съхранявайки събраните данни в описания на събития, като събитията с нулев момент са зададени на твърдо кодирана дата (2023-05-30). Криптираните команди, поставени в събитията в Календар на 30 и 31 юли 2023 г., се проверяват от зловредния софтуер, декриптират се и се изпълняват на компрометирания хост. Резултатите се записват обратно в Календара, за да могат хакерите да ги извлекат.
Google предприема действия
Google се намеси, като премахна измамния Google Календар и прекрати свързаните с него проекти Workspace, като по този начин ефективно демонтира тази злонамерена инфраструктура. Засегнатите организации бяха уведомени, но пълният мащаб на кампанията остава неизвестен.
История на злоупотребата с облака на APT41
Този инцидент не е първият път, когато APT41 манипулира услугите на Google със злонамерени цели. През април 2023 г. APT41 атакува тайванска медийна организация, предоставяйки инструмента Google Command and Control (GC2) чрез защитени с парола файлове в Google Drive. След внедряването му, GC2 позволява на нападателите да четат команди от Google Sheets и да извличат данни, използвайки Google Drive.
