TOUGHPROGRESS Malware

शोधकर्ताओं ने पाया है कि चीनी सरकार द्वारा प्रायोजित खतरा पैदा करने वाला APT41, TOUGHPROGRESS नामक एक नए पहचाने गए मैलवेयर का लाभ उठा रहा है। यह परिष्कृत मैलवेयर Google कैलेंडर को कमांड-एंड-कंट्रोल (C2) चैनल के रूप में उपयोग करता है, जिससे APT41 को वैध ट्रैफ़िक के साथ असुरक्षित गतिविधि को मिलाने की अनुमति मिलती है।

एक गुप्त अभियान की खोज

इस गतिविधि का पता सबसे पहले अक्टूबर 2024 के अंत में चला, जब TOUGHPROGRESS को एक समझौता किए गए सरकारी वेबसाइट पर होस्ट किया गया था। इसे विशेष रूप से अन्य सरकारी संस्थाओं को लक्षित करने के लिए तैनात किया गया था, जो अपने संचालन को छिपाने और पता लगाने से बचने के लिए क्लाउड सेवाओं का लाभ उठा रहा था।

APT41: एक परिचित दुश्मन

एपीटी41, जिसे एक्सिओम, ब्लैकफ्लाई, ब्रास टाइफून (पूर्व में बेरियम), ब्रॉन्ज एटलस, अर्थ बाकू, हूडू, रेडगोल्फ, रेड केल्पी, टीए415, विकेड पांडा और विन्न्टी के नाम से भी जाना जाता है, एक कुख्यात राष्ट्र-राज्य समूह है, जो वैश्विक शिपिंग, लॉजिस्टिक्स, मीडिया, प्रौद्योगिकी और ऑटोमोटिव क्षेत्रों पर अपने हमलों के लिए जाना जाता है।

जुलाई 2024 में, APT41 ने ANTSWORD, BLUEBEAM, DUSTPAN और DUSTTRAP जैसे वेब शेल और ड्रॉपर के संयोजन का उपयोग करके इटली, स्पेन, ताइवान, थाईलैंड, तुर्की और यूके में कई संगठनों को लक्षित किया। इससे पहले, मार्च 2024 में, APT41 के भीतर एक उपसमूह ने रिवाइवलस्टोन नामक अभियान के तहत विनिर्माण, सामग्री और ऊर्जा क्षेत्रों में जापानी कंपनियों को लक्षित किया था।

एक भ्रामक हमला श्रृंखला

नवीनतम प्रलेखित हमले की श्रृंखला स्पीयर-फ़िशिंग ईमेल से शुरू होती है, जो समझौता किए गए सरकारी साइट पर होस्ट किए गए ज़िप संग्रह के लिए एक लिंक प्रदान करती है। ज़िप फ़ाइल के अंदर एक निर्देशिका और एक विंडोज़ शॉर्टकट (LNK) है जो PDF दस्तावेज़ के रूप में प्रच्छन्न है। निर्देशिका में आर्थ्रोपोड्स ('1.jpg' से '7.jpg') की सात छवियाँ हैं।

संक्रमण तब शुरू होता है जब पीड़ित LNK पर क्लिक करता है, जिससे एक नकली PDF सक्रिय हो जाता है जो दावा करता है कि सूचीबद्ध प्रजातियों को निर्यात के लिए घोषित किया जाना चाहिए। हालाँकि, '6.jpg' और '7.jpg' नकली छवियाँ हैं। वास्तव में, पहली फ़ाइल एक एन्क्रिप्टेड पेलोड है, जिसे दूसरी फ़ाइल द्वारा डिक्रिप्ट किया जाता है, एक DLL जो LNK सक्रिय होने पर निष्पादित होती है। मैलवेयर पता लगाने से बचने के लिए मेमोरी-ओनली पेलोड, एन्क्रिप्शन, कम्प्रेशन और कंट्रोल फ़्लो ऑबफस्केशन जैसी गुप्त रणनीति का उपयोग करता है।

मैलवेयर तैनाती के तीन चरण

मैलवेयर में तीन अलग-अलग घटक होते हैं, जिनमें से प्रत्येक महत्वपूर्ण भूमिका निभाता है:

• प्लसड्रॉप: एक DLL जो मेमोरी में अगले चरण को डिक्रिप्ट और निष्पादित करता है।
• प्लसइंजेक्ट: अंतिम पेलोड को इंजेक्ट करने के लिए एक वैध 'svchost.exe' प्रक्रिया पर प्रक्रिया को खोखला करता है।

• टफप्रोग्रेस: मुख्य मैलवेयर, जो C2 के लिए गूगल कैलेंडर का लाभ उठाता है।

कमांड और नियंत्रण के लिए Google कैलेंडर का उपयोग करना

TOUGHPROGRESS हमलावर द्वारा नियंत्रित Google कैलेंडर के साथ घटनाओं को पढ़ने और लिखने के लिए इंटरैक्ट करता है, हार्ड-कोडेड तिथि (2023-05-30) पर सेट किए गए शून्य-मिनट की घटनाओं के साथ घटना विवरण में हार्वेस्ट किए गए डेटा को संग्रहीत करता है। 30 और 31 जुलाई, 2023 को कैलेंडर ईवेंट में रखे गए एन्क्रिप्टेड कमांड को मैलवेयर द्वारा पोल किया जाता है, डिक्रिप्ट किया जाता है, और समझौता किए गए होस्ट पर निष्पादित किया जाता है। हमलावरों द्वारा प्राप्त करने के लिए परिणाम कैलेंडर में वापस लिखे जाते हैं।

गूगल ने कार्रवाई की

गूगल ने धोखाधड़ी करने वाले गूगल कैलेंडर को हटाकर और संबंधित वर्कस्पेस परियोजनाओं को समाप्त करके हस्तक्षेप किया है, जिससे इस दुर्भावनापूर्ण बुनियादी ढांचे को प्रभावी ढंग से नष्ट किया जा रहा है। प्रभावित संगठनों को सतर्क कर दिया गया है, लेकिन अभियान की पूरी सीमा अज्ञात बनी हुई है।

APT41 का क्लाउड दुरुपयोग का इतिहास

यह पहली बार नहीं है जब APT41 ने दुर्भावनापूर्ण उद्देश्यों के लिए Google की सेवाओं में हेरफेर किया है। अप्रैल 2023 में, APT41 ने Google Drive पर पासवर्ड-संरक्षित फ़ाइलों के माध्यम से Google कमांड और कंट्रोल (GC2) टूल वितरित करते हुए एक ताइवानी मीडिया संगठन को लक्षित किया। एक बार तैनात होने के बाद, GC2 ने हमलावरों को Google शीट्स से कमांड पढ़ने और Google Drive का उपयोग करके डेटा निकालने की अनुमति दी।