TOUGHPROGRESS-malware
Onderzoekers hebben ontdekt dat de door de Chinese staat gesponsorde cybercrimineel APT41 gebruikmaakt van een recent ontdekte malware genaamd TOUGHPROGRESS. Deze geavanceerde malware gebruikt Google Agenda als Command-and-Control (C2)-kanaal, waardoor APT41 onveilige activiteiten kan combineren met legitiem verkeer.
Inhoudsopgave
De ontdekking van een heimelijke campagne
De activiteit werd voor het eerst gedetecteerd eind oktober 2024, toen TOUGHPROGRESS gehost werd op een gecompromitteerde overheidswebsite. Het werd specifiek ingezet om andere overheidsinstanties aan te vallen, gebruikmakend van clouddiensten om de activiteiten te maskeren en detectie te ontwijken.
APT41: Een bekende vijand
De APT41, ook wel bekend als Axiom, Blackfly, Brass Typhoon (voorheen Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda en Winnti, is een beruchte natiestaat die bekendstaat om zijn aanvallen op de wereldwijde scheepvaart-, logistieke, media-, technologie- en automobielsector.
In juli 2024 richtte APT41 zich op meerdere organisaties in Italië, Spanje, Taiwan, Thailand, Turkije en het Verenigd Koninkrijk met een combinatie van webshells en droppers zoals ANTSWORD, BLUEBEAM, DUSTPAN en DUSTTRAP. Eerder, in maart 2024, richtte een subgroep binnen APT41 zich op Japanse bedrijven in de productie-, materiaal- en energiesector als onderdeel van een campagne genaamd RevivalStone.
Een misleidende aanvalsketen
De meest recente gedocumenteerde aanvalsketen begint met spearphishing-e-mails die een link bevatten naar een ZIP-archief dat gehost wordt op de gecompromitteerde overheidswebsite. In het ZIP-bestand bevinden zich een map en een Windows-snelkoppeling (LNK) vermomd als een PDF-document. De map lijkt zeven afbeeldingen van geleedpotigen te bevatten ('1.jpg' tot en met '7.jpg').
De infectie begint wanneer het slachtoffer op de LNK klikt, waardoor een nep-pdf wordt gegenereerd die beweert dat de genoemde soort moet worden gedeclareerd voor export. '6.jpg' en '7.jpg' zijn echter nepafbeeldingen. In werkelijkheid is het eerste bestand een gecodeerde payload, die wordt gedecodeerd door een tweede bestand, een DLL die wordt uitgevoerd wanneer de LNK wordt geactiveerd. De malware maakt gebruik van stealth-tactieken zoals memory-only payloads, encryptie, compressie en verduistering van de controlestroom om detectie te voorkomen.
De drie fasen van malware-implementatie
De malware bestaat uit drie verschillende componenten, die elk een cruciale rol spelen:
- PLUSDROP: Een DLL die de volgende fase in het geheugen decodeert en uitvoert.
Google Agenda gebruiken voor commando en controle
TOUGHPROGRESS communiceert met een door een aanvaller beheerde Google Agenda om gebeurtenissen te lezen en te schrijven. De verzamelde gegevens worden opgeslagen in gebeurtenisbeschrijvingen met gebeurtenissen van nul minuten die zijn ingesteld op een hardgecodeerde datum (30-05-2023). Versleutelde opdrachten die op 30 en 31 juli 2023 in Agenda-evenementen zijn geplaatst, worden door de malware gepolst, gedecodeerd en uitgevoerd op de gecompromitteerde host. De resultaten worden teruggeschreven naar de Agenda, zodat de aanvallers ze kunnen ophalen.
Google onderneemt actie
Google is tussenbeide gekomen door de frauduleuze Google Agenda te verwijderen en de bijbehorende Workspace-projecten te beëindigen, waarmee deze kwaadaardige infrastructuur effectief is ontmanteld. De getroffen organisaties zijn gewaarschuwd, maar de volledige omvang van de campagne blijft onbekend.
De geschiedenis van cloudmisbruik in APT41
Dit incident is niet de eerste keer dat APT41 de diensten van Google voor kwaadaardige doeleinden manipuleert. In april 2023 richtte APT41 zich op een Taiwanese mediaorganisatie en leverde de Google Command and Control (GC2)-tool via wachtwoordbeveiligde bestanden op Google Drive. Na implementatie stelde GC2 aanvallers in staat om opdrachten uit Google Spreadsheets te lezen en gegevens te exfiltreren via Google Drive.
