Malware TOUGHPROGRESS
I ricercatori hanno scoperto che l'autore della minaccia sponsorizzato dallo stato cinese, APT41, sta sfruttando un malware di recente identificazione chiamato TOUGHPROGRESS. Questo malware sofisticato utilizza Google Calendar come canale di comando e controllo (C2), consentendo ad APT41 di mischiare attività pericolose con traffico legittimo.
Sommario
La scoperta di una campagna furtiva
L'attività è stata rilevata per la prima volta alla fine di ottobre 2024, con TOUGHPROGRESS ospitato su un sito web governativo compromesso. È stato implementato specificamente per colpire altri enti governativi, sfruttando i servizi cloud per mascherare le proprie operazioni ed eludere il rilevamento.
APT41: Un nemico familiare
L'APT41, noto anche come Axiom, Blackfly, Brass Typhoon (in precedenza Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda e Winnti, è un famigerato gruppo di stati nazionali noto per i suoi attacchi ai settori delle spedizioni, della logistica, dei media, della tecnologia e dell'automotive a livello globale.
Nel luglio 2024, APT41 ha preso di mira diverse organizzazioni in Italia, Spagna, Taiwan, Thailandia, Turchia e Regno Unito utilizzando una combinazione di Webshell e Dropper come ANTSWORD, BLUEBEAM, DUSTPAN e DUSTTRAP. In precedenza, nel marzo 2024, un sottogruppo di APT41 aveva preso di mira aziende giapponesi nei settori manifatturiero, dei materiali e dell'energia nell'ambito di una campagna nota come RevivalStone.
Una catena di attacchi ingannevoli
L'ultima catena di attacchi documentata inizia con email di spear-phishing che contengono un link a un archivio ZIP ospitato sul sito governativo compromesso. All'interno del file ZIP sono presenti una directory e un collegamento a Windows (LNK) camuffati da documento PDF. La directory sembra contenere sette immagini di artropodi (da "1.jpg" a "7.jpg").
L'infezione inizia quando la vittima clicca sull'LNK, attivando un PDF escamotage che afferma che le specie elencate devono essere dichiarate per l'esportazione. Tuttavia, "6.jpg" e "7.jpg" sono immagini false. In realtà, il primo file è un payload crittografato, decrittografato da un secondo file, una DLL che viene eseguita all'attivazione dell'LNK. Il malware utilizza tattiche stealth come payload che utilizzano solo la memoria, crittografia, compressione e offuscamento del flusso di controllo per evitare di essere rilevato.
Le tre fasi della distribuzione del malware
Il malware è costituito da tre componenti distinti, ognuno dei quali svolge un ruolo cruciale:
- PLUSDROP: una DLL che decifra ed esegue la fase successiva nella memoria.
- PLUSINJECT: Esegue l'hollowing di un processo legittimo 'svchost.exe' per iniettare il payload finale.
- TOUGHPROGRESS: il malware principale, che sfrutta Google Calendar per C2.
Sfruttare Google Calendar per il comando e il controllo
TOUGHPROGRESS interagisce con un Google Calendar controllato dall'aggressore per leggere e scrivere eventi, memorizzando i dati raccolti in descrizioni di eventi con eventi a zero minuti impostati su una data hardcoded (30/05/2023). I comandi crittografati inseriti negli eventi di Calendario il 30 e 31 luglio 2023 vengono interrogati dal malware, decifrati ed eseguiti sull'host compromesso. I risultati vengono riscritti nel Calendario affinché gli aggressori possano recuperarli.
Google interviene
Google è intervenuta rimuovendo il fraudolento Google Calendar e terminando i progetti Workspace associati, smantellando di fatto questa infrastruttura dannosa. Le organizzazioni interessate sono state allertate, ma la reale portata della campagna rimane sconosciuta.
La storia dell’abuso del cloud da parte di APT41
Questo incidente non è la prima volta che APT41 manipola i servizi Google per scopi illeciti. Nell'aprile 2023, APT41 ha preso di mira un'organizzazione mediatica taiwanese, distribuendo lo strumento Google Command and Control (GC2) tramite file protetti da password su Google Drive. Una volta implementato, GC2 ha permesso agli aggressori di leggere i comandi da Fogli Google e di esfiltrare dati tramite Google Drive.
