Zlonamjerni softver TOUGHPROGRESS
Istraživači su otkrili da kineski državni akter prijetnje, APT41, koristi novootkriveni zlonamjerni softver pod nazivom TOUGHPROGRESS. Ovaj sofisticirani zlonamjerni softver koristi Google kalendar kao kanal za upravljanje i kontrolu (C2), omogućujući APT41 da miješa nesigurne aktivnosti s legitimnim prometom.
Sadržaj
Otkriće tajne kampanje
Aktivnost je prvi put otkrivena krajem listopada 2024., a TOUGHPROGRESS je bio smješten na kompromitiranoj vladinoj web stranici. Bio je posebno raspoređen kako bi ciljao druge vladine subjekte, koristeći usluge u oblaku kako bi prikrio svoje operacije i izbjegao otkrivanje.
APT41: Poznati neprijatelj
APT41, također poznat kao Axiom, Blackfly, Brass Typhoon (prije poznat kao Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda i Winnti, je ozloglašena nacionalna-državna skupina poznata po napadima na globalni sektor brodarstva, logistike, medija, tehnologije i automobilske industrije.
U srpnju 2024., APT41 je ciljao više organizacija u Italiji, Španjolskoj, Tajvanu, Tajlandu, Turskoj i Ujedinjenom Kraljevstvu koristeći kombinaciju web-ljuski i droppera poput ANTSWORD, BLUEBEAM, DUSTPAN i DUSTTRAP. Ranije, u ožujku 2024., podskupina unutar APT41 ciljala je japanske tvrtke u sektorima proizvodnje, materijala i energetike kao dio kampanje poznate kao RevivalStone.
Lanac obmanjujućih napada
Najnoviji dokumentirani lanac napada započinje spear-phishing e-porukama koje dostavljaju poveznicu na ZIP arhivu smještenu na kompromitiranoj vladinoj web stranici. Unutar ZIP datoteke nalazi se direktorij i Windows prečac (LNK) prerušen u PDF dokument. Čini se da direktorij sadrži sedam slika člankonožaca ('1.jpg' do '7.jpg').
Infekcija počinje kada žrtva klikne na LNK, pokrećući PDF lažni dokument koji tvrdi da navedene vrste moraju biti deklarirane za izvoz. Međutim, '6.jpg' i '7.jpg' su lažne slike. U stvarnosti, prva datoteka je šifrirani korisni teret, dešifriran drugom datotekom, DLL-om koji se izvršava kada se aktivira LNK. Zlonamjerni softver koristi prikrivene taktike poput memorijski samo korisnih tereta, šifriranja, kompresije i zamagljivanja protoka kontrole kako bi izbjegao otkrivanje.
Tri faze implementacije zlonamjernog softvera
Zlonamjerni softver sastoji se od tri različite komponente, od kojih svaka ima ključnu ulogu:
- PLUSDROP: DLL koji dešifrira i izvršava sljedeći korak u memoriji.
- PLUSINJECT: Provodi procesno "hollowing" na legitimnom procesu 'svchost.exe' kako bi ubrizgao konačni korisni teret.
- TOUGHPROGRESS: Glavni zlonamjerni softver koji koristi Google kalendar za C2.
Iskorištavanje Google kalendara za komandovanje i kontrolu
TOUGHPROGRESS komunicira s Google kalendarom kojim upravlja napadač kako bi čitao i pisao događaje, pohranjujući prikupljene podatke u opise događaja s događajima od nulte minute postavljenim na fiksni datum (2023-05-30). Zlonamjerni softver proziva šifrirane naredbe postavljene u događaje u Kalendaru 30. i 31. srpnja 2023., dešifrira ih i izvršava na kompromitiranom hostu. Rezultati se zapisuju natrag u Kalendar kako bi ih napadači mogli preuzeti.
Google poduzima mjere
Google je intervenirao uklanjanjem lažnog Google kalendara i prekidom povezanih Workspace projekata, učinkovito demontirajući ovu zlonamjernu infrastrukturu. Pogođene organizacije su upozorene, ali puni opseg kampanje ostaje nepoznat.
APT41-ova povijest zlouporabe oblaka
Ovaj incident nije prvi put da APT41 manipulira Googleovim uslugama u zlonamjerne svrhe. U travnju 2023. APT41 je ciljao tajvansku medijsku organizaciju, isporučujući alat Google Command and Control (GC2) putem datoteka zaštićenih lozinkom na Google disku. Nakon implementacije, GC2 je omogućio napadačima čitanje naredbi iz Google tablica i krađu podataka pomoću Google diska.
