Perisian Hasad TOUGHPROGRESS
Penyelidik telah menemui bahawa pelakon ancaman tajaan kerajaan China, APT41, sedang memanfaatkan perisian hasad yang baru dikenal pasti dipanggil TOUGHPROGRESS. Perisian hasad yang canggih ini menggunakan Kalendar Google sebagai saluran Perintah-dan-Kawalan (C2), membolehkan APT41 menggabungkan aktiviti tidak selamat dengan trafik yang sah.
Isi kandungan
Penemuan Kempen Senyap
Aktiviti ini mula-mula dikesan pada penghujung Oktober 2024, dengan TOUGHPROGRESS dihoskan pada tapak web kerajaan yang terjejas. Ia digunakan secara khusus untuk menyasarkan entiti kerajaan yang lain, mengambil kesempatan daripada perkhidmatan awan untuk menutup operasinya dan mengelakkan pengesanan.
APT41: Musuh Biasa
APT41, juga dijejaki sebagai Axiom, Blackfly, Brass Typhoon (dahulunya Barium), Atlas Gangsa, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda dan Winnti, ialah kumpulan negara bangsa yang terkenal dengan serangannya terhadap perkapalan global, logistik, media, teknologi dan sektor automotif.
Pada Julai 2024, APT41 menyasarkan berbilang organisasi di Itali, Sepanyol, Taiwan, Thailand, Turki dan UK menggunakan gabungan cangkerang dan penitis Web seperti ANTSWORD, BLUEBEAM, DUSTPAN dan DUSTTRAP. Terdahulu, pada Mac 2024, subkumpulan dalam APT41 menyasarkan syarikat Jepun dalam sektor pembuatan, bahan dan tenaga sebagai sebahagian daripada kempen yang dikenali sebagai RevivalStone.
Rantaian Serangan yang Menipu
Rantaian serangan yang didokumenkan terbaharu bermula dengan e-mel spear-phishing yang menghantar pautan ke arkib ZIP yang dihoskan di tapak kerajaan yang terjejas. Di dalam fail ZIP terdapat direktori dan pintasan Windows (LNK) yang menyamar sebagai dokumen PDF. Direktori tersebut nampaknya mengandungi tujuh imej arthropod ('1.jpg' hingga '7.jpg').
Jangkitan bermula apabila mangsa mengklik LNK, mencetuskan PDF umpan yang mendakwa spesies yang disenaraikan mesti diisytiharkan untuk eksport. Walau bagaimanapun, '6.jpg' dan '7.jpg' adalah imej palsu. Pada hakikatnya, fail pertama ialah muatan yang disulitkan, dinyahsulit oleh fail kedua, DLL yang dilaksanakan apabila LNK diaktifkan. Malware menggunakan taktik tersembunyi seperti muatan memori sahaja, penyulitan, pemampatan dan pengaliran aliran kawalan untuk mengelakkan pengesanan.
Tiga Peringkat Penggunaan Perisian Hasad
Malware terdiri daripada tiga komponen berbeza, masing-masing melaksanakan peranan penting:
- PLUSDROP: DLL yang menyahsulit dan melaksanakan peringkat seterusnya dalam ingatan.
- PLUSINJECT: Menjalankan proses hollowing pada proses 'svchost.exe' yang sah untuk menyuntik muatan akhir.
- TOUGHPROGRESS: Perisian hasad utama, yang memanfaatkan Kalendar Google untuk C2.
Mengeksploitasi Kalendar Google untuk Perintah dan Kawalan
TOUGHPROGRESS berinteraksi dengan Kalendar Google yang dikawal oleh penyerang untuk membaca dan menulis acara, menyimpan data yang dituai dalam perihalan acara dengan acara sifar minit ditetapkan kepada tarikh berkod keras (2023-05-30). Perintah yang disulitkan yang diletakkan dalam acara Kalendar pada 30 dan 31 Julai 2023, ditinjau oleh perisian hasad, dinyahsulit, dilaksanakan pada hos yang terjejas. Keputusan ditulis kembali ke Kalendar untuk diambil semula oleh penyerang.
Google Mengambil Tindakan
Google telah campur tangan dengan mengalih keluar Kalendar Google yang menipu dan menamatkan projek Workspace yang berkaitan, dengan berkesan merungkai infrastruktur hasad ini. Organisasi yang terjejas telah dimaklumkan, tetapi tahap penuh kempen masih tidak diketahui.
Sejarah Penyalahgunaan Awan APT41
Kejadian ini bukan kali pertama APT41 memanipulasi perkhidmatan Google untuk tujuan berniat jahat. Pada April 2023, APT41 menyasarkan organisasi media Taiwan, menyampaikan alat Perintah dan Kawalan Google (GC2) melalui fail yang dilindungi kata laluan di Google Drive. Setelah digunakan, GC2 membenarkan penyerang membaca arahan daripada Helaian Google dan mengeluarkan data menggunakan Google Drive.
