Kenkėjiška programa „TOUGHPROGRESS“
Tyrėjai atskleidė, kad Kinijos valstybės remiamas grėsmių veikėjas APT41 naudoja naujai identifikuotą kenkėjišką programą, vadinamą TOUGHPROGRESS. Ši sudėtinga kenkėjiška programa naudoja „Google“ kalendorių kaip komandų ir kontrolės (C2) kanalą, leisdama APT41 sujungti nesaugią veiklą su teisėtu srautu.
Turinys
Slaptos kampanijos atradimas
Veikla pirmą kartą buvo aptikta 2024 m. spalio pabaigoje, kai „TOUGHPROGRESS“ buvo talpinama užkrėstoje vyriausybės svetainėje. Ji buvo specialiai dislokuota siekiant taikytis į kitas vyriausybės įstaigas, pasinaudojant debesijos paslaugomis, siekiant užmaskuoti savo veiklą ir išvengti aptikimo.
APT41: Pažįstamas priešas
APT41, dar žinoma kaip „Axiom“, „Blackfly“, „Brass Typhoon“ (anksčiau „Barium“), „Bronze Atlas“, „Earth Baku“, „HOODOO“, „RedGolf“, „Red Kelpie“, „TA415“, „Wicked Panda“ ir „Winnti“, yra liūdnai pagarsėjusi nacionalinė valstybių grupuotė, žinoma dėl savo išpuolių prieš pasaulinius laivybos, logistikos, žiniasklaidos, technologijų ir automobilių sektorius.
2024 m. liepą APT41 atakavo kelias organizacijas Italijoje, Ispanijoje, Taivane, Tailande, Turkijoje ir Jungtinėje Karalystėje, naudodamas tokius žiniatinklio apvalkalus ir „dropper“ programas kaip ANTSWORD, BLUEBEAM, DUSTPAN ir DUSTTRAP. Anksčiau, 2024 m. kovo mėn., APT41 pogrupis vykdė kampaniją „RevivalStone“, kurios metu buvo atakuojama Japonijos gamybos, medžiagų ir energetikos sektorių įmonė.
Apgaulinga atakų grandinė
Naujausia dokumentuota atakų grandinė prasideda tiksliniais sukčiavimo el. laiškais, kuriuose pateikiama nuoroda į ZIP archyvą, esantį užkrėstoje vyriausybės svetainėje. ZIP faile yra katalogas ir „Windows“ spartusis klavišas (LNK), užmaskuotas kaip PDF dokumentas. Kataloge, atrodo, yra septyni nariuotakojų vaizdai (nuo „1.jpg“ iki „7.jpg“).
Infekcija prasideda, kai auka spusteli LNK, suaktyvindama masalų PDF failą, kuriame teigiama, kad išvardytos rūšys turi būti deklaruotos eksportui. Tačiau „6.jpg“ ir „7.jpg“ yra netikri vaizdai. Iš tikrųjų pirmasis failas yra užšifruotas naudingasis failas, iššifruojamas antruoju failu – DLL failu, kuris paleidžiamas aktyvavus LNK. Kenkėjiška programa naudoja slaptą taktiką, pvz., tik atmintyje esančią naudingąją informaciją, šifravimą, glaudinimą ir valdymo srauto klaidinamą užmaskavimą, kad būtų išvengta aptikimo.
Trys kenkėjiškų programų diegimo etapai
Kenkėjiška programa susideda iš trijų skirtingų komponentų, kurių kiekvienas atlieka lemiamą vaidmenį:
- PLUSDROP: DLL, kuri iššifruoja ir vykdo kitą atminties etapą.
„Google“ kalendoriaus naudojimas komandoms ir kontrolei
„TOUGHPROGRESS“ sąveikauja su užpuoliko valdomu „Google“ kalendoriumi, kad nuskaitytų ir įrašytų įvykius, saugodama surinktus duomenis įvykių aprašymuose su nulinės minutės įvykiais, nustatytais pagal užkoduotą datą (2023-05-30). Kenkėjiška programa apklausia užšifruotas komandas, patalpintas kalendoriaus įvykiuose 2023 m. liepos 30 ir 31 d., jas iššifruoja ir vykdo pažeistame pagrindiniame kompiuteryje. Rezultatai įrašomi atgal į kalendorių, kad užpuolikai galėtų juos atkurti.
„Google“ imasi veiksmų
„Google“ įsikišo pašalindama apgaulingą „Google“ kalendorių ir nutraukdama susijusius „Workspace“ projektus, taip išardydama šią kenkėjišką infrastruktūrą. Pažeistos organizacijos buvo įspėtos, tačiau visas kampanijos mastas lieka nežinomas.
APT41 debesijos piktnaudžiavimo istorija
Šis incidentas nėra pirmas kartas, kai APT41 manipuliuoja „Google“ paslaugomis kenkėjiškais tikslais. 2023 m. balandžio mėn. APT41 taikėsi į Taivano žiniasklaidos organizaciją, perdavinėdamas „Google Command and Control“ (GC2) įrankį per slaptažodžiu apsaugotus failus „Google“ diske. Įdiegus GC2, užpuolikai galėjo skaityti komandas iš „Google“ skaičiuoklių ir išgauti duomenis naudojant „Google“ diską.
