TOUGHPROGRESS kártevő
A kutatók felfedezték, hogy a kínai állam által támogatott APT41 nevű fenyegetés egy újonnan azonosított, TOUGHPROGRESS nevű rosszindulatú programot használ. Ez a kifinomult rosszindulatú program a Google Naptárat használja parancs- és irányítási (C2) csatornaként, lehetővé téve az APT41 számára , hogy a nem biztonságos tevékenységeket a legitim forgalommal ötvözze.
Tartalomjegyzék
Egy alattomos kampány felfedezése
A tevékenységet először 2024 októberének végén észlelték, egy feltört kormányzati weboldalon futtatott TOUGHPROGRESS hackerrel. A hackert kifejezetten más kormányzati szervek megcélzására használták, kihasználva a felhőszolgáltatásokat a működésük elrejtésére és az észlelés elkerülésére.
APT41: Egy ismerős ellenség
Az APT41, amelyet Axiom, Blackfly, Brass Typhoon (korábban Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda és Winnti néven is ismernek, egy hírhedt nemzetállami csoport, amely a globális szállítmányozási, logisztikai, média-, technológiai és autóipari szektor elleni támadásairól ismert.
2024 júliusában az APT41 több szervezetet vett célba Olaszországban, Spanyolországban, Tajvanon, Thaiföldön, Törökországban és az Egyesült Királyságban, webes shelleket és droppereket, például ANTSWORD-ot, BLUEBEAM-et, DUSTPAN-t és DUSTTRAP-ot használva. Korábban, 2024 márciusában az APT41 egy alcsoportja japán vállalatokat vett célba a gyártási, anyagipari és energiaszektorban a RevivalStone néven ismert kampány részeként.
Megtévesztő támadási lánc
A legújabb dokumentált támadási láncolat célzó adathalász e-mailekkel kezdődik, amelyek egy feltört kormányzati oldalon található ZIP archívumra mutató linket tartalmaznak. A ZIP fájlban egy könyvtár és egy PDF dokumentumnak álcázott Windows parancsikon (LNK) található. A könyvtár hét ízeltlábú képet tartalmaz ('1.jpg' - '7.jpg').
A fertőzés akkor kezdődik, amikor az áldozat az LNK-ra kattint, ami egy csali PDF-et indít el, amely azt állítja, hogy a felsorolt fajokat exportáláshoz be kell jelenteni. A „6.jpg” és a „7.jpg” azonban hamis képek. A valóságban az első fájl egy titkosított adat, amelyet egy második fájl, egy DLL fejt vissza, amely az LNK aktiválásakor fut le. A rosszindulatú program olyan lopakodó taktikákat alkalmaz, mint a csak memóriában tárolt adatcsomagok, a titkosítás, a tömörítés és a vezérlőfolyamat-elfedés az észlelés elkerülése érdekében.
A kártevő telepítésének három szakasza
A rosszindulatú program három különálló összetevőből áll, amelyek mindegyike kulcsfontosságú szerepet játszik:
- PLUSDROP: Egy DLL, amely visszafejti és végrehajtja a memória következő szakaszát.
- PLUSINJECT: Folyamatürítést hajt végre egy legitim „svchost.exe” folyamaton a végső hasznos adat befecskendezéséhez.
- TOUGHPROGRESS: A fő kártevő, amely a Google Naptárat használja ki a C2-hez.
A Google Naptár kihasználása parancsadáshoz és irányításhoz
A TOUGHPROGRESS egy támadó által ellenőrzött Google Naptárral kommunikálva eseményeket olvas és ír, a gyűjtött adatokat pedig eseményleírásokban tárolja, nulla perces eseményekkel, fixen kódolt dátummal (2023-05-30). A 2023. július 30-án és 31-én a Naptár eseményeibe helyezett titkosított parancsokat a rosszindulatú program lekérdezi, visszafejti és végrehajtja a feltört gazdagépen. Az eredményeket visszaírja a Naptárba, hogy a támadók lekérhessék azokat.
A Google lépéseket tesz
A Google közbelépett a hamis Google Naptár eltávolításával és a kapcsolódó Workspace-projektek leállításával, gyakorlatilag lebontva ezt a rosszindulatú infrastruktúrát. Az érintett szervezeteket értesítették, de a kampány teljes mértéke továbbra sem ismert.
Az APT41 felhőalapú visszaéléseinek története
Ez az eset nem az első alkalom, hogy az APT41 rosszindulatú célokra manipulálta a Google szolgáltatásait. 2023 áprilisában az APT41 egy tajvani médiaszervezetet vett célba, a Google Command and Control (GC2) eszközt jelszóval védett fájlokon keresztül juttatva el a Google Drive-ra. A GC2 telepítése után lehetővé tette a támadók számára, hogy parancsokat olvassanak a Google Táblázatokból, és adatokat lopjanak a Google Drive segítségével.
