TOUGHPROGRESS Skadevare
Forskere har avdekket at den kinesiske statsstøttede trusselaktøren APT41 utnytter en nylig identifisert skadelig programvare kalt TOUGHPROGRESS. Denne sofistikerte skadelige programvaren bruker Google Kalender som en kommando-og-kontroll-kanal (C2), slik at APT41 kan blande usikker aktivitet med legitim trafikk.
Innholdsfortegnelse
Oppdagelsen av en snikende kampanje
Aktiviteten ble først oppdaget sent i oktober 2024, da TOUGHPROGRESS lå på et kompromittert nettsted fra myndighetene. Den ble spesielt distribuert for å målrette andre myndighetsenheter, og utnyttet skytjenester for å maskere driften og unngå å bli oppdaget.
APT41: En kjent fiende
APT41, også kjent som Axiom, Blackfly, Brass Typhoon (tidligere Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda og Winnti, er en beryktet nasjonalstatsgruppe kjent for sine angrep på global skipsfart, logistikk, media, teknologi og bilsektoren.
I juli 2024 målrettet APT41 seg mot flere organisasjoner i Italia, Spania, Taiwan, Thailand, Tyrkia og Storbritannia ved hjelp av en kombinasjon av Web shells og droppere som ANTSWORD, BLUEBEAM, DUSTPAN og DUSTTRAP. Tidligere, i mars 2024, målrettet en undergruppe innen APT41 seg mot japanske selskaper innen produksjon, materialer og energisektoren som en del av en kampanje kjent som RevivalStone.
En bedragersk angrepskjede
Den siste dokumenterte angrepskjeden begynner med spear-phishing-e-poster som leverer en lenke til et ZIP-arkiv som ligger på det kompromitterte myndighetsnettstedet. Inne i ZIP-filen er en katalog og en Windows-snarvei (LNK) forkledd som et PDF-dokument. Katalogen ser ut til å inneholde syv bilder av leddyr ('1.jpg' til '7.jpg').
Infeksjonen starter når offeret klikker på LNK-en, noe som utløser en PDF-fil med lokkedyr som hevder at arten som er oppført må deklareres for eksport. '6.jpg' og '7.jpg' er imidlertid falske bilder. I virkeligheten er den første filen en kryptert nyttelast, dekryptert av en andre fil, en DLL, som kjøres når LNK-en aktiveres. Skadevaren bruker snikende taktikker som minnebaserte nyttelaster, kryptering, komprimering og obfuskasjon av kontrollflyt for å unngå oppdagelse.
De tre stadiene av distribusjon av skadelig programvare
Skadevaren består av tre forskjellige komponenter, som hver spiller en avgjørende rolle:
- PLUSDROP: En DLL som dekrypterer og utfører neste trinn i minnet.
- PLUSINJECT: Utfører prosessuthuling på en legitim 'svchost.exe'-prosess for å injisere den endelige nyttelasten.
- TOUGHPROGRESS: Den viktigste skadelige programvaren, som utnytter Google Kalender for C2.
Utnyttelse av Google Kalender for kommando og kontroll
TOUGHPROGRESS samhandler med en angriperstyrt Google Kalender for å lese og skrive hendelser, og lagrer innsamlede data i hendelsesbeskrivelser med nullminuttshendelser satt til en hardkodet dato (2023-05-30). Krypterte kommandoer plassert i Kalender-hendelser 30. og 31. juli 2023 blir pollet av skadevaren, dekryptert og utført på den kompromitterte verten. Resultatene skrives tilbake til Kalenderen slik at angriperne kan hente dem.
Google tar grep
Google har grepet inn ved å fjerne den falske Google Kalender og avslutte tilknyttede Workspace-prosjekter, noe som effektivt har demontert denne skadelige infrastrukturen. Berørte organisasjoner har blitt varslet, men det fulle omfanget av kampanjen er fortsatt ukjent.
APT41s historie med skymisbruk
Denne hendelsen er ikke første gang APT41 har manipulert Googles tjenester for ondsinnede formål. I april 2023 angrep APT41 en taiwansk medieorganisasjon ved å levere Google Command and Control (GC2)-verktøyet via passordbeskyttede filer på Google Drive. Etter utrulling tillot GC2 angripere å lese kommandoer fra Google Sheets og eksfiltrere data ved hjelp av Google Drive.
