Rabattilbud med flere licenser
Trusseldatabase Malware TOUGHPROGRESS Malware

TOUGHPROGRESS Malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Forskere har afsløret, at den kinesiske statsstøttede trusselsaktør, APT41, udnytter en nyligt identificeret malware kaldet TOUGHPROGRESS. Denne sofistikerede malware bruger Google Kalender som en kommando-og-kontrol (C2) kanal, der giver APT41 mulighed for at blande usikker aktivitet med legitim trafik.

Opdagelsen af en skjult kampagne

Aktiviteten blev først opdaget i slutningen af oktober 2024, hvor TOUGHPROGRESS var placeret på en kompromitteret offentlig hjemmeside. Den blev specifikt implementeret til at målrette andre offentlige enheder ved at udnytte cloudtjenester til at maskere sine operationer og undgå at blive opdaget.

APT41: En velkendt fjende

APT41, også kendt som Axiom, Blackfly, Brass Typhoon (tidligere Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda og Winnti, er en berygtet nationalstatsgruppe kendt for sine angreb på global skibsfart, logistik, medier, teknologi og bilindustrien.

I juli 2024 målrettede APT41 flere organisationer i Italien, Spanien, Taiwan, Thailand, Tyrkiet og Storbritannien ved hjælp af en kombination af Web shells og droppers som ANTSWORD, BLUEBEAM, DUSTPAN og DUSTTRAP. Tidligere, i marts 2024, målrettede en undergruppe inden for APT41 japanske virksomheder inden for fremstillings-, materiale- og energisektoren som en del af en kampagne kendt som RevivalStone.

En vildledende angrebskæde

Den senest dokumenterede angrebskæde begynder med spear-phishing-e-mails, der leverer et link til et ZIP-arkiv, der hostes på det kompromitterede regeringswebsted. Inde i ZIP-filen er en mappe og en Windows-genvej (LNK) forklædt som et PDF-dokument. Mappen ser ud til at indeholde syv billeder af leddyr ('1.jpg' til '7.jpg').

Infektionen starter, når offeret klikker på LNK'en, hvilket udløser en PDF-fil med lokkefugle, der hævder, at den anførte art skal deklareres til eksport. '6.jpg' og '7.jpg' er dog falske billeder. I virkeligheden er den første fil en krypteret nyttelast, der dekrypteres af en anden fil, en DLL, der køres, når LNK'en aktiveres. Malwaren bruger stealth-taktikker som kun hukommelsesnyttelast, kryptering, komprimering og kontrolflow-forvrængning for at undgå opdagelse.

De tre faser af malware-implementering

Malwaren består af tre forskellige komponenter, der hver især spiller en afgørende rolle:

  • PLUSDROP: En DLL, der dekrypterer og udfører det næste trin i hukommelsen.
  • PLUSINJECT: Udfører proceshollowing på en legitim 'svchost.exe'-proces for at injicere den endelige nyttelast.
  • TOUGHPROGRESS: Den primære malware, der udnytter Google Kalender til C2.

    • Udnyttelse af Google Kalender til kommando og kontrol

    TOUGHPROGRESS interagerer med en angriberkontrolleret Google Kalender for at læse og skrive begivenheder og lagre indsamlede data i begivenhedsbeskrivelser med nul-minutsbegivenheder indstillet til en hardcoded dato (2023-05-30). Krypterede kommandoer placeret i Kalenderbegivenheder den 30. og 31. juli 2023 polles af malwaren, dekrypteres og udføres på den kompromitterede vært. Resultaterne skrives tilbage til Kalenderen, så angriberne kan hente dem.

    Google tager affære

    Google har grebet ind ved at fjerne den falske Google Kalender og afslutte tilhørende Workspace-projekter, hvilket effektivt har afviklet denne ondsindede infrastruktur. De berørte organisationer er blevet advaret, men kampagnens fulde omfang er stadig ukendt.

    APT41s historie med cloudmisbrug

    Denne hændelse er ikke første gang, at APT41 har manipuleret Googles tjenester til ondsindede formål. I april 2023 angreb APT41 en taiwansk medieorganisation ved at levere Google Command and Control (GC2)-værktøjet via adgangskodebeskyttede filer på Google Drive. Når GC2 var implementeret, tillod det angribere at læse kommandoer fra Google Sheets og tømme data ved hjælp af Google Drive.

    Trending

    Mest sete

    Indlæser...