Programari maliciós TOUGHPROGRESS
Investigadors han descobert que l'actor de pirateria patrocinat per l'estat xinès, APT41, està aprofitant un programari maliciós recentment identificat anomenat TOUGHPROGRESS. Aquest programari maliciós sofisticat utilitza Google Calendar com a canal de comandament i control (C2), cosa que permet a APT41 barrejar activitats no segures amb trànsit legítim.
Taula de continguts
El descobriment d’una campanya furtiva
L'activitat es va detectar per primera vegada a finals d'octubre de 2024, amb TOUGHPROGRESS allotjat en un lloc web governamental compromès. Es va desplegar específicament per atacar altres entitats governamentals, aprofitant els serveis al núvol per emmascarar les seves operacions i evadir la detecció.
APT41: Un enemic familiar
L'APT41, també conegut com a Axiom, Blackfly, Brass Typhoon (abans Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda i Winnti, és un grup d'estats nació conegut pels seus atacs als sectors mundials del transport marítim, la logística, els mitjans de comunicació, la tecnologia i l'automoció.
El juliol de 2024, APT41 va atacar diverses organitzacions a Itàlia, Espanya, Taiwan, Tailàndia, Turquia i el Regne Unit utilitzant una combinació de webshells i droppers com ANTSWORD, BLUEBEAM, DUSTPAN i DUSTTRAP. Anteriorment, el març de 2024, un subgrup dins d'APT41 va atacar empreses japoneses dels sectors de la fabricació, els materials i l'energia com a part d'una campanya coneguda com a RevivalStone.
Una cadena d’atac enganyosa
La darrera cadena d'atac documentada comença amb correus electrònics de spear-phishing que lliuren un enllaç a un arxiu ZIP allotjat al lloc web del govern compromès. Dins del fitxer ZIP hi ha un directori i una drecera de Windows (LNK) disfressada de document PDF. El directori sembla contenir set imatges d'artròpodes (de "1.jpg" a "7.jpg").
La infecció comença quan la víctima fa clic al LNK, activant un PDF esquer que afirma que les espècies llistades s'han de declarar per a l'exportació. Tanmateix, '6.jpg' i '7.jpg' són imatges falses. En realitat, el primer fitxer és una càrrega útil xifrada, desxifrada per un segon fitxer, una DLL que s'executa quan s'activa el LNK. El programari maliciós utilitza tàctiques furtives com ara càrregues útils només de memòria, xifratge, compressió i ofuscació del flux de control per evitar la detecció.
Les tres etapes del desplegament de programari maliciós
El programari maliciós consta de tres components diferents, cadascun dels quals realitza una funció crucial:
- PLUSDROP: Una DLL que desxifra i executa la següent etapa a la memòria.
- PLUSINJECT: Realitza un buidatge de processos en un procés legítim 'svchost.exe' per injectar la càrrega útil final.
- TOUGHPROGRESS: El principal programari maliciós, que aprofita Google Calendar per a C2.
Explotació de Google Calendar per a comandament i control
TOUGHPROGRESS interactua amb un calendari de Google controlat per un atacant per llegir i escriure esdeveniments, emmagatzemant les dades recollides en descripcions d'esdeveniments amb esdeveniments de zero minuts establerts en una data codificada (30-05-2023). El programari maliciós interroga les ordres xifrades que es col·loquen als esdeveniments del calendari del 30 i 31 de juliol de 2023, les desxifra i les executa a l'amfitrió compromès. Els resultats es tornen a escriure al calendari perquè els atacants els puguin recuperar.
Google pren mesures
Google ha intervingut eliminant el fraudulent Google Calendar i cancel·lant els projectes de Workspace associats, desmantellant així aquesta infraestructura maliciosa. S'ha alertat les organitzacions afectades, però es desconeix l'abast total de la campanya.
Història d’abús al núvol d’APT41
Aquest incident no és la primera vegada que APT41 ha manipulat els serveis de Google amb finalitats malicioses. L'abril de 2023, APT41 va atacar una organització de mitjans de comunicació taiwanesa, lliurant l'eina Google Command and Control (GC2) a través de fitxers protegits amb contrasenya a Google Drive. Un cop desplegada, GC2 va permetre als atacants llegir ordres de Google Sheets i exfiltrar dades mitjançant Google Drive.
