TOUGHPROGRESS मालवेयर

अनुसन्धानकर्ताहरूले पत्ता लगाएका छन् कि चिनियाँ राज्य-प्रायोजित खतरा अभिनेता, APT41 ले TOUGHPROGRESS भनिने नयाँ पहिचान गरिएको मालवेयरको फाइदा उठाइरहेको छ। यो परिष्कृत मालवेयरले गुगल क्यालेन्डरलाई कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानलको रूपमा प्रयोग गर्दछ, जसले APT41 लाई असुरक्षित गतिविधिलाई वैध ट्राफिकसँग मिसाउन अनुमति दिन्छ।

एउटा गोप्य अभियानको खोज

यो गतिविधि पहिलो पटक अक्टोबर २०२४ को अन्त्यतिर पत्ता लागेको थियो, जसमा TOUGHPROGRESS एउटा सम्झौता भएको सरकारी वेबसाइटमा होस्ट गरिएको थियो। यसलाई विशेष गरी अन्य सरकारी संस्थाहरूलाई लक्षित गर्न तैनाथ गरिएको थियो, क्लाउड सेवाहरूको फाइदा उठाउँदै यसको सञ्चालन लुकाउन र पत्ता लगाउनबाट बच्न।

APT41: एक परिचित शत्रु

APT41, जसलाई Axiom, Blackfly, Brass Typhoon (पहिले Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda, र Winnti को रूपमा पनि चिनिन्थ्यो, एक कुख्यात राष्ट्र-राज्य समूह हो जुन विश्वव्यापी ढुवानी, रसद, मिडिया, प्रविधि र अटोमोटिभ क्षेत्रहरूमा आक्रमणको लागि परिचित छ।

जुलाई २०२४ मा, APT41 ले ANTSWORD, BLUEBEAM, DUSTPAN र DUSTTRAP जस्ता वेब शेल र ड्रपरहरूको संयोजन प्रयोग गरेर इटाली, स्पेन, ताइवान, थाइल्याण्ड, टर्की र बेलायतका धेरै संस्थाहरूलाई लक्षित गर्‍यो। यसअघि, मार्च २०२४ मा, APT41 भित्रको एउटा उपसमूहले रिभाइभलस्टोन भनेर चिनिने अभियानको भागको रूपमा उत्पादन, सामग्री र ऊर्जा क्षेत्रका जापानी कम्पनीहरूलाई लक्षित गरेको थियो।

एउटा भ्रामक आक्रमण श्रृंखला

पछिल्लो दस्तावेज गरिएको आक्रमण श्रृंखला भाला-फिसिङ इमेलहरूबाट सुरु हुन्छ जसले सम्झौता गरिएको सरकारी साइटमा होस्ट गरिएको ZIP अभिलेखको लिङ्क प्रदान गर्दछ। ZIP फाइल भित्र एउटा डाइरेक्टरी र PDF कागजातको रूपमा भेषमा विन्डोज सर्टकट (LNK) छ। डाइरेक्टरीमा आर्थ्रोपोडका सात छविहरू ('1.jpg' देखि '7.jpg') समावेश भएको देखिन्छ।

पीडितले LNK मा क्लिक गर्दा संक्रमण सुरु हुन्छ, जसले गर्दा एउटा डिकोय PDF ट्रिगर हुन्छ जसले सूचीबद्ध प्रजातिहरू निर्यातको लागि घोषित गरिनुपर्छ भनेर दाबी गर्छ। यद्यपि, '6.jpg' र '7.jpg' नक्कली छविहरू हुन्। वास्तविकतामा, पहिलो फाइल एक एन्क्रिप्टेड पेलोड हो, जुन दोस्रो फाइल, DLL द्वारा डिक्रिप्ट गरिएको हुन्छ जुन LNK सक्रिय हुँदा कार्यान्वयन हुन्छ। मालवेयरले पत्ता लगाउनबाट बच्न मेमोरी-मात्र पेलोडहरू, इन्क्रिप्शन, कम्प्रेसन, र नियन्त्रण प्रवाह अस्पष्टता जस्ता स्टिल्थ रणनीतिहरू प्रयोग गर्दछ।

मालवेयर तैनाथीको तीन चरणहरू

मालवेयरमा तीन फरक घटकहरू हुन्छन्, प्रत्येकले महत्त्वपूर्ण भूमिका खेल्छन्:

• प्लसड्रप: एउटा DLL जसले मेमोरीको अर्को चरणलाई डिक्रिप्ट गर्छ र कार्यान्वयन गर्छ।

कमाण्ड र नियन्त्रणको लागि गुगल क्यालेन्डरको प्रयोग गर्दै

TOUGHPROGRESS ले आक्रमणकारी-नियन्त्रित Google क्यालेन्डरसँग अन्तर्क्रिया गर्छ घटनाहरू पढ्न र लेख्नको लागि, सङ्कलित डेटालाई शून्य-मिनेट घटनाहरू सहितको हार्ड-कोडेड मिति (२०२३-०५-३०) मा सेट गरिएको घटना विवरणहरूमा भण्डारण गर्दछ। जुलाई ३० र ३१, २०२३ मा क्यालेन्डर घटनाहरूमा राखिएका इन्क्रिप्टेड आदेशहरू मालवेयरद्वारा पोल गरिन्छन्, डिक्रिप्ट गरिन्छन्, सम्झौता गरिएको होस्टमा कार्यान्वयन गरिन्छन्। आक्रमणकारीहरूले पुन: प्राप्त गर्नको लागि परिणामहरू क्यालेन्डरमा फिर्ता लेखिन्छन्।

गुगलले कारबाही गर्छ

गुगलले नक्कली गुगल क्यालेन्डर हटाएर र सम्बन्धित वर्कस्पेस परियोजनाहरू समाप्त गरेर हस्तक्षेप गरेको छ, यस दुर्भावनापूर्ण पूर्वाधारलाई प्रभावकारी रूपमा भत्काएर। प्रभावित संस्थाहरूलाई सतर्क गराइएको छ, तर अभियानको पूर्ण हद अज्ञात छ।

APT41 को क्लाउड दुरुपयोगको इतिहास

यो घटना APT41 ले दुर्भावनापूर्ण उद्देश्यका लागि गुगलका सेवाहरू हेरफेर गरेको पहिलो पटक होइन। अप्रिल २०२३ मा, APT41 ले ताइवानी मिडिया संस्थालाई लक्षित गर्‍यो, गुगल ड्राइभमा पासवर्ड-सुरक्षित फाइलहरू मार्फत गुगल कमाण्ड एण्ड कन्ट्रोल (GC2) उपकरण डेलिभर गर्दै। एक पटक तैनाथ भएपछि, GC2 ले आक्रमणकारीहरूलाई गुगल पानाहरूबाट आदेशहरू पढ्न र गुगल ड्राइभ प्रयोग गरेर डेटा एक्सफिल्टर गर्न अनुमति दियो।