Κακόβουλο λογισμικό TOUGHPROGRESS
Ερευνητές ανακάλυψαν ότι ο κινέζικος κρατικός απειλητικός παράγοντας, APT41, αξιοποιεί ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό που ονομάζεται TOUGHPROGRESS. Αυτό το εξελιγμένο κακόβουλο λογισμικό χρησιμοποιεί το Ημερολόγιο Google ως κανάλι Command-and-Control (C2), επιτρέποντας στο APT41 να συνδυάζει μη ασφαλή δραστηριότητα με νόμιμη κίνηση.
Πίνακας περιεχομένων
Η ανακάλυψη μιας κρυφής εκστρατείας
Η δραστηριότητα εντοπίστηκε για πρώτη φορά στα τέλη Οκτωβρίου 2024, με το TOUGHPROGRESS να φιλοξενείται σε έναν παραβιασμένο κυβερνητικό ιστότοπο. Αναπτύχθηκε ειδικά για να στοχεύσει άλλους κυβερνητικούς φορείς, εκμεταλλευόμενος τις υπηρεσίες cloud για να αποκρύψει τις δραστηριότητές του και να αποφύγει τον εντοπισμό.
APT41: Ένας Γνώριμος Εχθρός
Η APT41, που καταγράφεται επίσης ως Axiom, Blackfly, Brass Typhoon (πρώην Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda και Winnti, είναι μια διαβόητη ομάδα εθνών-κρατών γνωστή για τις επιθέσεις της στους παγκόσμιους τομείς της ναυτιλίας, της εφοδιαστικής, των μέσων ενημέρωσης, της τεχνολογίας και της αυτοκινητοβιομηχανίας.
Τον Ιούλιο του 2024, η APT41 στόχευσε πολλούς οργανισμούς στην Ιταλία, την Ισπανία, την Ταϊβάν, την Ταϊλάνδη, την Τουρκία και το Ηνωμένο Βασίλειο χρησιμοποιώντας έναν συνδυασμό κελυφών Web και droppers όπως τα ANTSWORD, BLUEBEAM, DUSTPAN και DUSTTRAP. Νωρίτερα, τον Μάρτιο του 2024, μια υποομάδα εντός της APT41 στόχευσε ιαπωνικές εταιρείες στους τομείς της μεταποίησης, των υλικών και της ενέργειας στο πλαίσιο μιας εκστρατείας γνωστής ως RevivalStone.
Μια παραπλανητική αλυσίδα επιθέσεων
Η τελευταία καταγεγραμμένη αλυσίδα επιθέσεων ξεκινά με email spear-phishing που παρέχουν έναν σύνδεσμο προς ένα αρχείο ZIP που φιλοξενείται στον παραβιασμένο κυβερνητικό ιστότοπο. Μέσα στο αρχείο ZIP υπάρχει ένας κατάλογος και μια συντόμευση των Windows (LNK) που μεταμφιέζεται σε έγγραφο PDF. Ο κατάλογος φαίνεται να περιέχει επτά εικόνες αρθρόποδων ('1.jpg' έως '7.jpg').
Η μόλυνση ξεκινά όταν το θύμα κάνει κλικ στο LNK, ενεργοποιώντας ένα PDF-δόλωμα που ισχυρίζεται ότι τα είδη που αναφέρονται πρέπει να δηλωθούν για εξαγωγή. Ωστόσο, τα '6.jpg' και '7.jpg' είναι ψεύτικες εικόνες. Στην πραγματικότητα, το πρώτο αρχείο είναι ένα κρυπτογραφημένο ωφέλιμο φορτίο, το οποίο αποκρυπτογραφείται από ένα δεύτερο αρχείο, ένα DLL που εκτελείται όταν ενεργοποιείται το LNK. Το κακόβουλο λογισμικό χρησιμοποιεί τακτικές μυστικότητας όπως ωφέλιμα φορτία μόνο στη μνήμη, κρυπτογράφηση, συμπίεση και απόκρυψη ροής ελέγχου για να αποφύγει την ανίχνευση.
Τα τρία στάδια ανάπτυξης κακόβουλου λογισμικού
Το κακόβουλο λογισμικό αποτελείται από τρία ξεχωριστά στοιχεία, καθένα από τα οποία εκτελεί έναν κρίσιμο ρόλο:
- PLUSDROP: Ένα αρχείο DLL που αποκρυπτογραφεί και εκτελεί το επόμενο στάδιο στη μνήμη.
Αξιοποίηση του Ημερολογίου Google για Διοίκηση και Έλεγχο
Το TOUGHPROGRESS αλληλεπιδρά με ένα Ημερολόγιο Google που ελέγχεται από εισβολείς για την ανάγνωση και την εγγραφή συμβάντων, αποθηκεύοντας τα δεδομένα που έχουν συλλεχθεί σε περιγραφές συμβάντων με συμβάντα μηδενικού λεπτού που έχουν οριστεί σε μια συγκεκριμένη ημερομηνία (2023-05-30). Οι κρυπτογραφημένες εντολές που τοποθετούνται σε συμβάντα Ημερολογίου στις 30 και 31 Ιουλίου 2023, υποβάλλονται σε αναζήτηση από το κακόβουλο λογισμικό, αποκρυπτογραφούνται και εκτελούνται στον παραβιασμένο κεντρικό υπολογιστή. Τα αποτελέσματα εγγράφονται πίσω στο Ημερολόγιο για να τα ανακτήσουν οι εισβολείς.
Η Google αναλαμβάνει δράση
Η Google παρενέβη καταργώντας το δόλιο Ημερολόγιο Google και τερματίζοντας τα σχετικά έργα Workspace, ουσιαστικά αποσυναρμολογώντας αυτήν την κακόβουλη υποδομή. Οι επηρεαζόμενοι οργανισμοί έχουν ειδοποιηθεί, αλλά η πλήρης έκταση της εκστρατείας παραμένει άγνωστη.
Η ιστορία της κατάχρησης του cloud από την APT41
Αυτό το περιστατικό δεν είναι η πρώτη φορά που η APT41 χειραγωγεί τις υπηρεσίες της Google για κακόβουλους σκοπούς. Τον Απρίλιο του 2023, η APT41 στόχευσε έναν οργανισμό μέσων ενημέρωσης της Ταϊβάν, παρέχοντας το εργαλείο Google Command and Control (GC2) μέσω αρχείων που προστατεύονται με κωδικό πρόσβασης στο Google Drive. Μόλις αναπτύχθηκε, η GC2 επέτρεψε στους εισβολείς να διαβάζουν εντολές από τα Υπολογιστικά Φύλλα Google και να αποσπούν δεδομένα χρησιμοποιώντας το Google Drive.
