TOUGHPROGRESS ļaunprogrammatūra
Pētnieki ir atklājuši, ka Ķīnas valsts sponsorētais ļaunprogrammatūra APT41 izmanto nesen identificētu ļaunprogrammatūru ar nosaukumu TOUGHPROGRESS. Šī sarežģītā ļaunprogrammatūra izmanto Google kalendāru kā vadības un kontroles (C2) kanālu, ļaujot APT41 apvienot nedrošas darbības ar likumīgu datplūsmu.
Satura rādītājs
Slepenas kampaņas atklāšana
Šī aktivitāte pirmo reizi tika konstatēta 2024. gada oktobra beigās, kad TOUGHPROGRESS tika mitināts kompromitētā valdības tīmekļa vietnē. Tā tika īpaši izvietota, lai uzbruktu citām valdības iestādēm, izmantojot mākoņpakalpojumus, lai maskētu savu darbību un izvairītos no atklāšanas.
APT41: Pazīstams ienaidnieks
APT41, kas pazīstama arī kā Axiom, Blackfly, Brass Typhoon (agrāk Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda un Winnti, ir bēdīgi slavena nacionālu valstu grupa, kas pazīstama ar uzbrukumiem globālajām kuģniecības, loģistikas, mediju, tehnoloģiju un autobūves nozarēm.
2024. gada jūlijā APT41 uzbruka vairākām organizācijām Itālijā, Spānijā, Taivānā, Taizemē, Turcijā un Apvienotajā Karalistē, izmantojot tādus tīmekļa apvalkus un dropperus kā ANTSWORD, BLUEBEAM, DUSTPAN un DUSTTRAP. Iepriekš, 2024. gada martā, APT41 apakšgrupa uzbruka Japānas uzņēmumiem ražošanas, materiālu un enerģētikas nozarēs kampaņas RevivalStone ietvaros.
Maldinoša uzbrukuma ķēde
Jaunākā dokumentētā uzbrukumu ķēde sākas ar mērķtiecīgas pikšķerēšanas e-pastiem, kas piegādā saiti uz ZIP arhīvu, kas atrodas apdraudētajā valdības vietnē. ZIP failā atrodas direktorijs un Windows saīsne (LNK), kas maskēta kā PDF dokuments. Šķiet, ka direktorijā ir septiņi posmkāju attēli (no '1.jpg' līdz '7.jpg').
Infekcija sākas, kad upuris noklikšķina uz LNK, aktivizējot maldinošu PDF failu, kas apgalvo, ka uzskaitītās sugas ir jādeklarē eksportam. Tomēr “6.jpg” un “7.jpg” ir viltoti attēli. Patiesībā pirmais fails ir šifrēta vērtuma slodze, ko atšifrē otrais fails — DLL fails, kas tiek izpildīts, aktivizējot LNK. Ļaunprogrammatūra izmanto slepenas taktikas, piemēram, tikai atmiņā esošu vērtuma slodzi, šifrēšanu, saspiešanu un vadības plūsmas maskēšanu, lai izvairītos no atklāšanas.
Ļaunprogrammatūras izvietošanas trīs posmi
Ļaunprogrammatūra sastāv no trim atšķirīgām sastāvdaļām, katrai no kurām ir izšķiroša loma:
- PLUSDROP: DLL fails, kas atšifrē un izpilda nākamo atmiņas posmu.
- PLUSINJECT: Veic procesa “hollowing” (tukšošanas) funkciju likumīgā “svchost.exe” procesā, lai ievadītu galīgo vērtumu.
- TOUGHPROGRESS: Galvenā ļaunprogrammatūra, kas C2 vajadzībām izmanto Google kalendāru.
Google kalendāra izmantošana komandvadībai un kontrolei
TOUGHPROGRESS mijiedarbojas ar uzbrucēja kontrolētu Google kalendāru, lai lasītu un rakstītu notikumus, saglabājot apkopotos datus notikumu aprakstos ar nulles minūtes notikumiem, kas iestatīti uz stingri kodētu datumu (2023-05-30). Ļaunprogramma aptaujā šifrētās komandas, kas ievietotas kalendāra notikumos 2023. gada 30. un 31. jūlijā, tiek atšifrētas un izpildītas apdraudētajā resursdatorā. Rezultāti tiek ierakstīti atpakaļ kalendārā, lai uzbrucēji tos varētu izgūt.
Google rīkojas
Google ir iejaucies, noņemot krāpniecisko Google kalendāru un pārtraucot saistītos Workspace projektus, tādējādi faktiski likvidējot šo ļaunprātīgo infrastruktūru. Skartās organizācijas ir brīdinātas, taču kampaņas pilns apmērs joprojām nav zināms.
APT41 mākoņpakalpojumu ļaunprātīgas izmantošanas vēsture
Šis incidents nav pirmais gadījums, kad APT41 ir ļaunprātīgos nolūkos manipulējis ar Google pakalpojumiem. 2023. gada aprīlī APT41 uzbruka Taivānas plašsaziņas līdzekļu organizācijai, piegādājot Google Command and Control (GC2) rīku, izmantojot ar paroli aizsargātus failus Google diskā. Pēc GC2 izvietošanas uzbrucēji varēja lasīt komandas no Google Sheets un izgūt datus, izmantojot Google disku.
