بدافزار TOUGHPROGRESS

محققان کشف کرده‌اند که گروه تهدید تحت حمایت دولت چین، APT41، از یک بدافزار تازه شناسایی شده به نام TOUGHPROGRESS استفاده می‌کند. این بدافزار پیشرفته از تقویم گوگل به عنوان یک کانال فرماندهی و کنترل (C2) استفاده می‌کند و به APT41 اجازه می‌دهد تا فعالیت‌های ناامن را با ترافیک قانونی ترکیب کند.

کشف یک کمپین مخفیانه

این فعالیت اولین بار در اواخر اکتبر ۲۰۲۴ شناسایی شد، زمانی که TOUGHPROGRESS در یک وب‌سایت دولتیِ آسیب‌پذیر میزبانی می‌شد. این بدافزار به‌طور خاص برای هدف قرار دادن سایر نهادهای دولتی مستقر شده بود و از سرویس‌های ابری برای پنهان کردن عملیات خود و جلوگیری از شناسایی شدن استفاده می‌کرد.

APT41: دشمنی آشنا

گروه APT41 که با نام‌های Axiom، Blackfly، Brass Typhoon (که قبلاً Barium نام داشت)، Bronze Atlas، Earth Baku، HOODOO، RedGolf، Red Kelpie، TA415، Wicked Panda و Winnti نیز شناخته می‌شود، یک گروه بدنام دولتی است که به خاطر حملاتش به بخش‌های کشتیرانی، لجستیک، رسانه، فناوری و خودروسازی جهانی شناخته می‌شود.

در ژوئیه ۲۰۲۴، APT41 با استفاده از ترکیبی از پوسته‌های وب و دراپرهایی مانند ANTSWORD، BLUEBEAM، DUSTPAN و DUSTTRAP، چندین سازمان را در ایتالیا، اسپانیا، تایوان، تایلند، ترکیه و بریتانیا هدف قرار داد. پیش از این، در مارس ۲۰۲۴، یک زیرگروه از APT41 شرکت‌های ژاپنی را در بخش‌های تولید، مواد و انرژی به عنوان بخشی از کمپینی به نام RevivalStone هدف قرار داد.

یک زنجیره حمله فریبنده

آخرین زنجیره حمله مستند شده با ایمیل‌های فیشینگ هدفمند آغاز می‌شود که لینکی به یک آرشیو ZIP میزبانی شده در سایت دولتی آسیب‌دیده ارائه می‌دهند. درون فایل ZIP یک دایرکتوری و یک میانبر ویندوز (LNK) وجود دارد که به عنوان یک سند PDF پنهان شده است. به نظر می‌رسد این دایرکتوری شامل هفت تصویر از بندپایان ('1.jpg' تا '7.jpg') است.

آلودگی زمانی شروع می‌شود که قربانی روی LNK کلیک می‌کند و یک فایل PDF جعلی را اجرا می‌کند که ادعا می‌کند گونه‌های ذکر شده باید برای صادرات اعلام شوند. با این حال، '6.jpg' و '7.jpg' تصاویر جعلی هستند. در واقع، فایل اول یک payload رمزگذاری شده است که توسط فایل دوم، یک DLL که هنگام فعال شدن LNK اجرا می‌شود، رمزگشایی می‌شود. این بدافزار از تاکتیک‌های مخفی‌کاری مانند payloadهای فقط حافظه، رمزگذاری، فشرده‌سازی و مبهم‌سازی جریان کنترل برای جلوگیری از شناسایی استفاده می‌کند.

سه مرحله استقرار بدافزار

این بدافزار از سه جزء مجزا تشکیل شده است که هر کدام نقش مهمی را ایفا می‌کنند:

• PLUSDROP: یک DLL که مرحله بعدی را در حافظه رمزگشایی و اجرا می‌کند.

سوءاستفاده از تقویم گوگل برای فرماندهی و کنترل

TOUGHPROGRESS با یک تقویم گوگل تحت کنترل مهاجم تعامل می‌کند تا رویدادها را بخواند و بنویسد و داده‌های جمع‌آوری‌شده را در توضیحات رویداد با رویدادهای صفر دقیقه‌ای که روی یک تاریخ ثابت (2023-05-30) تنظیم شده‌اند، ذخیره کند. دستورات رمزگذاری‌شده قرار داده‌شده در رویدادهای تقویم در تاریخ 30 و 31 ژوئیه 2023، توسط بدافزار بررسی، رمزگشایی و روی میزبان آسیب‌دیده اجرا می‌شوند. نتایج برای بازیابی مهاجمان به تقویم ارسال می‌شوند.

گوگل اقدام می‌کند

گوگل با حذف تقویم جعلی گوگل و خاتمه دادن به پروژه‌های Workspace مرتبط، مداخله کرده و عملاً این زیرساخت مخرب را از بین برده است. به سازمان‌های آسیب‌دیده هشدار داده شده است، اما وسعت کامل این کمپین هنوز ناشناخته است.

سابقه سوءاستفاده APT41 از فضای ابری

این اولین باری نیست که APT41 سرویس‌های گوگل را برای اهداف مخرب دستکاری می‌کند. در آوریل ۲۰۲۳، APT41 یک سازمان رسانه‌ای تایوانی را هدف قرار داد و ابزار فرماندهی و کنترل گوگل (GC2) را از طریق فایل‌های محافظت‌شده با رمز عبور در گوگل درایو ارائه داد. پس از استقرار، GC2 به مهاجمان اجازه داد تا دستورات را از گوگل شیت بخوانند و داده‌ها را با استفاده از گوگل درایو استخراج کنند.