הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנות זדוניות TOUGHPROGRESS

תוכנות זדוניות TOUGHPROGRESS

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרים גילו כי גורם האיום APT41, בחסות המדינה הסינית, מנצל תוכנה זדונית חדשה בשם TOUGHPROGRESS. תוכנה זדונית מתוחכמת זו משתמשת ביומן גוגל כערוץ פיקוד ובקרה (C2), המאפשר ל-APT41 לשלב פעילות לא בטוחה עם תעבורה לגיטימית.

גילוי קמפיין חשאי

הפעילות זוהתה לראשונה בסוף אוקטובר 2024, כאשר TOUGHPROGRESS אוחסן באתר ממשלתי פרוץ. היא נפרסה במיוחד כדי לכוון לגופים ממשלתיים אחרים, תוך ניצול שירותי ענן כדי להסוות את פעילותם ולהימנע מגילוי.

APT41: אויב מוכר

קבוצת APT41, המכונה גם Axiom, Blackfly, Brass Typhoon (לשעבר Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda ו-Winnti, היא קבוצת מדינות ידועה לשמצה במתקפותיה על מגזרי הספנות, הלוגיסטיקה, התקשורת, הטכנולוגיה והרכב העולמיים.

ביולי 2024, APT41 כיוונה למספר ארגונים באיטליה, ספרד, טייוואן, תאילנד, טורקיה ובריטניה באמצעות שילוב של Web Shells ו-droppers כמו ANTSWORD, BLUEBEAM, DUSTPAN ו-DUSTTRAP. מוקדם יותר, במרץ 2024, תת-קבוצה בתוך APT41 כיוונה לחברות יפניות במגזרי הייצור, החומרים והאנרגיה כחלק מקמפיין המכונה RevivalStone.

שרשרת התקפות מטעה

שרשרת ההתקפות המתועדת האחרונה מתחילה במיילים מסוג "פישינג" המספקים קישור לארכיון ZIP המאוחסן באתר הממשלתי שנפרץ. בתוך קובץ ה-ZIP יש ספרייה וקיצור דרך של Windows (LNK) במסווה של מסמך PDF. נראה שהספרייה מכילה שבע תמונות של פרוקי רגליים ('1.jpg' עד '7.jpg').

ההדבקה מתחילה כאשר הקורבן לוחץ על קובץ ה-LNK, מה שמפעיל קובץ PDF מטעה שטוען כי יש להצהיר על המין המופיע ברשימה לצורך ייצוא. עם זאת, '6.jpg' ו-'7.jpg' הן תמונות מזויפות. במציאות, הקובץ הראשון הוא מטען מוצפן, המפוענח על ידי קובץ שני, DLL, שמופעל כאשר ה-LNK מופעל. הנוזקה משתמשת בטקטיקות התגנבות כמו מטענים המבוססים על זיכרון בלבד, הצפנה, דחיסה וטשטוש זרימת בקרה כדי להימנע מגילוי.

שלושת השלבים של פריסת תוכנות זדוניות

תוכנה זדונית מורכבת משלושה רכיבים נפרדים, שלכל אחד מהם תפקיד מכריע:

  • PLUSDROP: קובץ DLL שמפענח ומבצע את השלב הבא בזיכרון.
  • PLUSINJECT: מבצע תהליך חלול בתהליך 'svchost.exe' לגיטימי כדי להזריק את המטען הסופי.
  • TOUGHPROGRESS: הנוזקה העיקרית, המנצלת את יומן גוגל עבור C2.

    • ניצול יומן גוגל לשליטה ובקרה

    TOUGHPROGRESS מקיים אינטראקציה עם יומן גוגל הנשלט על ידי תוקפים כדי לקרוא ולכתוב אירועים, תוך אחסון נתונים שנאספו בתיאורי אירועים עם אירועים בדקה אפס המוגדרים לתאריך מקודד קשיח (2023-05-30). פקודות מוצפנות שהוצבו באירועי יומן ב-30 וב-31 ביולי 2023, עוברות סקר על ידי התוכנה הזדונית, מפוענחות, ומבוצעות על המארח שנפרץ. התוצאות נכתבות חזרה ליומן כדי שהתוקפים יוכלו לאחזר אותן.

    גוגל נוקטת פעולה

    גוגל התערבה על ידי הסרת יומן גוגל המזויף וסיום פרויקטים קשורים של Workspace, ובכך פירקה למעשה את התשתית הזדונית הזו. הארגונים שנפגעו קיבלו התראה, אך היקף הקמפיין המלא אינו ידוע.

    היסטוריה של שימוש לרעה בענן של APT41

    תקרית זו אינה הפעם הראשונה ש-APT41 מנצלת את שירותי גוגל למטרות זדוניות. באפריל 2023, APT41 תקפה ארגון תקשורת טייוואני, וסיפקה את כלי הפיקוד והבקרה של גוגל (GC2) באמצעות קבצים מוגנים בסיסמה ב-Google Drive. לאחר פריסתו, GC2 אפשר לתוקפים לקרוא פקודות מ-Google Sheets ולשלוף נתונים באמצעות Google Drive.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    33,799
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...