TOUGHPRESS-haittaohjelma
Tutkijat ovat paljastaneet, että Kiinan valtion tukema uhkatoimija APT41 hyödyntää äskettäin tunnistettua TOUGHPROGRESS-nimistä haittaohjelmaa. Tämä hienostunut haittaohjelma käyttää Google Kalenteria komento- ja hallintakanavana (C2), jonka avulla APT41 voi yhdistää vaarallista toimintaa lailliseen liikenteeseen.
Sisällysluettelo
Salakavalan kampanjan löytäminen
Toiminta havaittiin ensimmäisen kerran lokakuun lopulla 2024, kun TOUGHPROGRESS-hyökkäystä isännöitiin vaarantuneella valtion verkkosivustolla. Se oli erityisesti otettu käyttöön muiden valtion yksiköiden hyökkäsiskelyyn pilvipalveluita hyödyntäen toimintojensa peittämiseksi ja havaitsemisen välttämiseksi.
APT41: Tuttu vihollinen
APT41, jota seurataan myös nimillä Axiom, Blackfly, Brass Typhoon (entinen Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda ja Winnti, on pahamaineinen kansallisvaltioiden ryhmä, joka tunnetaan hyökkäyksistään maailmanlaajuisia merenkulku-, logistiikka-, media-, teknologia- ja autoteollisuuden aloja vastaan.
Heinäkuussa 2024 APT41 kohdisti iskunsa useisiin organisaatioihin Italiassa, Espanjassa, Taiwanissa, Thaimaassa, Turkissa ja Isossa-Britanniassa käyttäen yhdistelmää verkkokuoria ja droppereita, kuten ANTSWORD, BLUEBEAM, DUSTPAN ja DUSTTRAP. Aiemmin, maaliskuussa 2024, APT41:n alaryhmä kohdisti iskunsa japanilaisiin yrityksiin valmistus-, materiaali- ja energiasektoreilla osana RevivalStone-nimistä kampanjaa.
Petollinen hyökkäysketju
Viimeisin dokumentoitu hyökkäysketju alkaa spekulatiivisilla tietojenkalasteluviesteillä, jotka toimittavat linkin vaarantuneella valtion sivustolla sijaitsevaan ZIP-arkistoon. ZIP-tiedoston sisällä on hakemisto ja Windows-pikakuvake (LNK), jotka on naamioitu PDF-dokumentiksi. Hakemisto näyttää sisältävän seitsemän kuvaa niveljalkaisista ('1.jpg' - '7.jpg').
Tartunta alkaa, kun uhri napsauttaa LNK-tiedostoa, mikä laukaisee harhautus-PDF-tiedoston, joka väittää, että luetellut lajit on ilmoitettava vientiä varten. '6.jpg' ja '7.jpg' ovat kuitenkin väärennettyjä kuvia. Todellisuudessa ensimmäinen tiedosto on salattu hyötykuorma, jonka salauksen purkaa toinen tiedosto, DLL-tiedosto, joka suoritetaan, kun LNK aktivoidaan. Haittaohjelma käyttää piilotustaktiikoita, kuten vain muistiin tallennettuja hyötykuormaa, salausta, pakkausta ja ohjausvirran hämärtämistä, välttääkseen havaitsemisen.
Haittaohjelmien käyttöönoton kolme vaihetta
Haittaohjelma koostuu kolmesta erillisestä osasta, joilla kullakin on ratkaiseva rooli:
- PLUSDROP: DLL-tiedosto, joka purkaa salauksen ja suorittaa seuraavan vaiheen muistissa.
- PLUSINJECT: Suorittaa prosessin ontonuksen lailliselle 'svchost.exe'-prosessille injektoidakseen lopullisen hyötykuorman.
- TOUGHPROGRESS: Tärkein haittaohjelma, joka hyödyntää Google Kalenteria C2:ssa.
Google Kalenterin hyödyntäminen komentoihin ja hallintaan
TOUGHPROGRESS on vuorovaikutuksessa hyökkääjän hallitseman Google Kalenterin kanssa lukeakseen ja kirjoittaakseen tapahtumia ja tallentaakseen kerättyä dataa tapahtumakuvauksiin, joissa nolla minuutin tapahtumat on asetettu kiinteästi koodatulle päivämäärälle (30.5.2023). Haittaohjelma kyselee 30. ja 31. heinäkuuta 2023 tapahtuneisiin kalenteritapahtumiin sijoitetut salatut komennot, purkaa niiden salauksen ja suorittaa ne vaarantuneella isännöintipalvelimella. Tulokset kirjoitetaan takaisin kalenteriin hyökkääjien noudettavaksi.
Google ryhtyy toimiin
Google on puuttunut asiaan poistamalla huijaavan Google Kalenterin ja lopettamalla siihen liittyvät Workspace-projektit, mikä käytännössä purki tämän haitallisen infrastruktuurin. Asianomaisia organisaatioita on varoitettu, mutta kampanjan täydellinen laajuus on edelleen tuntematon.
APT41:n pilvipalveluiden väärinkäytön historia
Tämä tapaus ei ole ensimmäinen kerta, kun APT41 on manipuloinut Googlen palveluita haitallisiin tarkoituksiin. Huhtikuussa 2023 APT41 kohdisti hyökkäyksensä taiwanilaiseen mediaorganisaatioon ja toimitti Google Command and Control (GC2) -työkalun salasanasuojattujen tiedostojen kautta Google Drivessa. Käyttöönoton jälkeen GC2 mahdollisti hyökkääjien lukea komentoja Google Sheetsistä ja viedä tietoja Google Driven avulla.
