TOUGHPROGRESSi pahavara
Teadlased on avastanud, et Hiina riigi toetatud pahavara APT41 kasutab äsja tuvastatud pahavara nimega TOUGHPROGRESS. See keerukas pahavara kasutab Google Calendarit juhtimis- ja kontrollikanalina (C2), võimaldades APT41-l segada ohtlikku tegevust seadusliku liiklusega.
Sisukord
Salajase kampaania avastamine
Tegevus avastati esmakordselt 2024. aasta oktoobri lõpus, kui TOUGHPROGRESS majutati ohustatud valitsuse veebisaidil. See oli spetsiaalselt kasutusele võetud teiste valitsusasutuste sihtimiseks, kasutades ära pilveteenuseid oma tegevuse varjamiseks ja avastamisest hoidumiseks.
APT41: Tuttav vaenlane
APT41, mida jälgitakse ka nimede Axiom, Blackfly, Brass Typhoon (endine Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda ja Winnti all, on kurikuulus rahvusriikide rühmitus, mis on tuntud oma rünnakute poolest ülemaailmsele laevandus-, logistika-, meedia-, tehnoloogia- ja autotööstusele.
2024. aasta juulis võttis APT41 sihikule mitu organisatsiooni Itaalias, Hispaanias, Taiwanis, Tais, Türgis ja Ühendkuningriigis, kasutades veebikestade ja dropperite, näiteks ANTSWORD, BLUEBEAM, DUSTPAN ja DUSTTRAP, kombinatsiooni. Varem, 2024. aasta märtsis, võttis APT41 alamrühm sihikule Jaapani tootmis-, materjali- ja energeetikasektori ettevõtteid osana kampaaniast, mida tuntakse nime all RevivalStone.
Petlik rünnakuahel
Viimane dokumenteeritud rünnakuahel algab odavõngitsuskirjadega, mis saadavad lingi ohustatud valitsuse veebisaidil asuvale ZIP-arhiivile. ZIP-faili sees on kataloog ja Windowsi otsetee (LNK), mis on maskeeritud PDF-dokumendiks. Kataloog näib sisaldavat seitset lülijalgsete pilti ('1.jpg' kuni '7.jpg').
Nakatumine algab siis, kui ohver klõpsab LNK-l, mis käivitab peibutus-PDF-faili, mis väidab, et loetletud liigid tuleb ekspordiks deklareerida. '6.jpg' ja '7.jpg' on aga võltspildid. Tegelikkuses on esimene fail krüpteeritud fail, mille dekrüpteerib teine fail – DLL-fail, mis käivitub LNK aktiveerimisel. Pahavara kasutab avastamise vältimiseks varjatud taktikaid, nagu ainult mälu kasutavad load, krüpteerimine, tihendamine ja juhtimisvoo hägustamine.
Pahavara juurutamise kolm etappi
Pahavara koosneb kolmest erinevast komponendist, millest igaühel on oluline roll:
- PLUSDROP: DLL, mis dekrüpteerib ja käivitab mälus järgmise etapi.
- PLUSINJECT: Teostab legitiimse 'svchost.exe' protsessi õõnestamise, et süstida lõplik kasulik koormus.
- TOUGHPROGRESS: Peamine pahavara, mis kasutab C2 jaoks Google Calendarit.
Google’i kalendri kasutamine juhtimise ja juhtimise jaoks
TOUGHPROGRESS suhtleb ründaja kontrollitud Google Calendariga sündmuste lugemiseks ja kirjutamiseks, salvestades kogutud andmeid sündmuste kirjeldustesse, kus nullminuti sündmused on määratud püsikodeeritud kuupäevale (30.05.2023). Pahavara küsitleb 30. ja 31. juulil 2023 kalendrisündmustele paigutatud krüptitud käske, need dekrüpteeritakse ja käivitatakse ohustatud hostis. Tulemused kirjutatakse tagasi kalendrisse, et ründajad saaksid need kätte saada.
Google võtab meetmeid
Google on sekkunud petturliku Google Calendari eemaldamise ja sellega seotud Workspace'i projektide lõpetamisega, lammutades sisuliselt selle pahatahtliku infrastruktuuri. Mõjutatud organisatsioone on hoiatatud, kuid kampaania täielik ulatus on teadmata.
APT41 pilve kuritarvitamise ajalugu
See juhtum pole esimene kord, kui APT41 on Google'i teenuseid pahatahtlikel eesmärkidel manipuleerinud. 2023. aasta aprillis võttis APT41 sihikule Taiwani meediaorganisatsiooni, pakkudes Google Command and Control (GC2) tööriista parooliga kaitstud failide kaudu Google Drive'is. Pärast juurutamist võimaldas GC2 ründajatel lugeda Google Sheetsist käske ja hankida andmeid Google Drive'i abil.
