Malware TOUGHPROGRESS
Výzkumníci odhalili, že čínský státem sponzorovaný malware APT41 využívá nově identifikovaný malware s názvem TOUGHPROGRESS. Tento sofistikovaný malware využívá Kalendář Google jako kanál pro řízení a kontrolu (C2), což umožňuje APT41 kombinovat nebezpečnou aktivitu s legitimním provozem.
Obsah
Objev tajné kampaně
Aktivita byla poprvé zjištěna koncem října 2024, kdy byl TOUGHPROGRESS hostován na napadených vládních webových stránkách. Byl speciálně nasazen s cílem zaměřit se na jiné vládní subjekty a využíval cloudové služby k maskování svých operací a vyhýbání se odhalení.
APT41: Známý nepřítel
APT41, sledovaná také jako Axiom, Blackfly, Brass Typhoon (dříve Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda a Winnti, je nechvalně známá skupina národních států známá svými útoky na globální lodní dopravu, logistiku, média, technologie a automobilový průmysl.
V červenci 2024 se APT41 zaměřila na několik organizací v Itálii, Španělsku, na Tchaj-wanu, v Thajsku, Turecku a ve Spojeném království pomocí kombinace webových shellů a dropperů, jako jsou ANTSWORD, BLUEBEAM, DUSTPAN a DUSTTRAP. Dříve, v březnu 2024, se podskupina v rámci APT41 zaměřila na japonské společnosti ve výrobním, materiálovém a energetickém sektoru v rámci kampaně známé jako RevivalStone.
Řetězec klamných útoků
Nejnovější zdokumentovaný řetězec útoků začíná phishingovými e-maily, které obsahují odkaz na ZIP archiv hostovaný na napadeném vládním webu. Uvnitř ZIP souboru se nachází adresář a zástupce systému Windows (LNK) maskovaný jako dokument PDF. Adresář zřejmě obsahuje sedm obrázků členovců („1.jpg“ až „7.jpg“).
Infekce začíná, když oběť klikne na odkaz na klíč (LNK), čímž se spustí návnadový PDF soubor, který tvrdí, že uvedené druhy musí být deklarovány pro export. Obrázky „6.jpg“ a „7.jpg“ jsou však falešné. Ve skutečnosti je první soubor zašifrovaný datový obsah, dešifrovaný druhým souborem, DLL, který se spustí při aktivaci klíče na klíč. Malware používá stealth taktiky, jako je datový obsah pouze pro paměť, šifrování, kompresi a zamlžování řídicího toku, aby se vyhnul odhalení.
Tři fáze nasazení malwaru
Malware se skládá ze tří odlišných komponent, z nichž každá hraje klíčovou roli:
- PLUSDROP: DLL, která dešifruje a provádí další krok v paměti.
- PLUSINJECT: Provádí vyprázdnění procesů v legitimním procesu 'svchost.exe' za účelem vložení finální datové části.
- TOUGHPROGRESS: Hlavní malware, který využívá Kalendář Google pro C2.
Využití Kalendáře Google pro velení a řízení
TOUGHPROGRESS interaguje s útočníkem ovládaným Kalendářem Google, kde čte a zapisuje události a ukládá shromážděná data do popisů událostí s událostmi s nulovým časem nastavenými na pevně zakódované datum (2023-05-30). Zašifrované příkazy umístěné v událostech Kalendáře 30. a 31. července 2023 jsou malwarem dotazovány, dešifrovány a spuštěny na napadeném hostiteli. Výsledky jsou zapsány zpět do Kalendáře, aby je útočníci mohli načíst.
Google podniká kroky
Společnost Google zasáhla odstraněním podvodného Kalendáře Google a ukončením souvisejících projektů Workspace, čímž efektivně rozložila tuto škodlivou infrastrukturu. Dotčené organizace byly upozorněny, ale plný rozsah kampaně zůstává neznámý.
Historie zneužívání cloudu APT41
Tento incident není prvním případem, kdy APT41 manipuluje se službami Googlu ke škodlivým účelům. V dubnu 2023 se APT41 zaměřila na tchajwanskou mediální organizaci a poskytla nástroj Google Command and Control (GC2) prostřednictvím souborů chráněných heslem na Disku Google. Po nasazení GC2 umožňoval útočníkům číst příkazy z Tabulek Google a získávat data pomocí Disku Google.
