TOUGHPROGRESS ਮਾਲਵੇਅਰ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ ਚੀਨੀ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਐਕਟਰ, APT41, ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਮਾਲਵੇਅਰ ਦਾ ਲਾਭ ਉਠਾ ਰਿਹਾ ਹੈ ਜਿਸਨੂੰ TOUGHPROGRESS ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਗੁੰਝਲਦਾਰ ਮਾਲਵੇਅਰ ਗੂਗਲ ਕੈਲੰਡਰ ਨੂੰ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲ ਵਜੋਂ ਵਰਤਦਾ ਹੈ, ਜਿਸ ਨਾਲ APT41 ਨੂੰ ਜਾਇਜ਼ ਟ੍ਰੈਫਿਕ ਨਾਲ ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀ ਨੂੰ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਇੱਕ ਗੁਪਤ ਮੁਹਿੰਮ ਦੀ ਖੋਜ

ਇਸ ਗਤੀਵਿਧੀ ਦਾ ਪਤਾ ਪਹਿਲੀ ਵਾਰ ਅਕਤੂਬਰ 2024 ਦੇ ਅਖੀਰ ਵਿੱਚ ਲੱਗਿਆ ਸੀ, ਜਿਸ ਵਿੱਚ TOUGHPROGRESS ਇੱਕ ਖਰਾਬ ਸਰਕਾਰੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਹੋਰ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹੋਏ ਆਪਣੇ ਕਾਰਜਾਂ ਨੂੰ ਛੁਪਾਉਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ।

APT41: ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਦੁਸ਼ਮਣ

APT41, ਜਿਸਨੂੰ Axiom, Blackfly, Brass Typhoon (ਪਹਿਲਾਂ Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda, ਅਤੇ Winnti ਦੇ ਨਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਬਦਨਾਮ ਰਾਸ਼ਟਰ-ਰਾਜ ਸਮੂਹ ਹੈ ਜੋ ਗਲੋਬਲ ਸ਼ਿਪਿੰਗ, ਲੌਜਿਸਟਿਕਸ, ਮੀਡੀਆ, ਤਕਨਾਲੋਜੀ ਅਤੇ ਆਟੋਮੋਟਿਵ ਸੈਕਟਰਾਂ 'ਤੇ ਆਪਣੇ ਹਮਲਿਆਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਜੁਲਾਈ 2024 ਵਿੱਚ, APT41 ਨੇ ਇਟਲੀ, ਸਪੇਨ, ਤਾਈਵਾਨ, ਥਾਈਲੈਂਡ, ਤੁਰਕੀ ਅਤੇ ਯੂਕੇ ਵਿੱਚ ਕਈ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, ਜਿਸ ਵਿੱਚ ANTSWORD, BLUEBEAM, DUSTPAN ਅਤੇ DUSTTRAP ਵਰਗੇ ਵੈੱਬ ਸ਼ੈੱਲ ਅਤੇ ਡਰਾਪਰਾਂ ਦੇ ਸੁਮੇਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ। ਇਸ ਤੋਂ ਪਹਿਲਾਂ, ਮਾਰਚ 2024 ਵਿੱਚ, APT41 ਦੇ ਅੰਦਰ ਇੱਕ ਉਪ ਸਮੂਹ ਨੇ ਰਿਵਾਈਵਲਸਟੋਨ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਨਿਰਮਾਣ, ਸਮੱਗਰੀ ਅਤੇ ਊਰਜਾ ਖੇਤਰਾਂ ਵਿੱਚ ਜਾਪਾਨੀ ਕੰਪਨੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ।

ਇੱਕ ਧੋਖੇਬਾਜ਼ ਹਮਲੇ ਦੀ ਲੜੀ

ਨਵੀਨਤਮ ਦਸਤਾਵੇਜ਼ੀ ਹਮਲੇ ਦੀ ਲੜੀ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀ ਗਈ ਸਰਕਾਰੀ ਸਾਈਟ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ZIP ਆਰਕਾਈਵ ਦਾ ਲਿੰਕ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ZIP ਫਾਈਲ ਦੇ ਅੰਦਰ ਇੱਕ ਡਾਇਰੈਕਟਰੀ ਅਤੇ ਇੱਕ Windows ਸ਼ਾਰਟਕੱਟ (LNK) ਹੈ ਜੋ ਇੱਕ PDF ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਹੈ। ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਆਰਥਰੋਪੌਡਸ ਦੀਆਂ ਸੱਤ ਤਸਵੀਰਾਂ ('1.jpg' ਤੋਂ '7.jpg') ਹੁੰਦੀਆਂ ਜਾਪਦੀਆਂ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਪੀੜਤ LNK 'ਤੇ ਕਲਿੱਕ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇੱਕ ਡੀਕੋਏ PDF ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਸੂਚੀਬੱਧ ਪ੍ਰਜਾਤੀਆਂ ਨੂੰ ਨਿਰਯਾਤ ਲਈ ਘੋਸ਼ਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਹਾਲਾਂਕਿ, '6.jpg' ਅਤੇ '7.jpg' ਨਕਲੀ ਤਸਵੀਰਾਂ ਹਨ। ਅਸਲੀਅਤ ਵਿੱਚ, ਪਹਿਲੀ ਫਾਈਲ ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਹੈ, ਜਿਸਨੂੰ ਦੂਜੀ ਫਾਈਲ ਦੁਆਰਾ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ DLL ਜੋ LNK ਦੇ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ ਚਲਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਮੈਮਰੀ-ਓਨਲੀ ਪੇਲੋਡ, ਏਨਕ੍ਰਿਪਸ਼ਨ, ਕੰਪਰੈਸ਼ਨ, ਅਤੇ ਕੰਟਰੋਲ ਫਲੋ ਅਬਫਸਕੇਸ਼ਨ ਵਰਗੀਆਂ ਸਟੀਲਥ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਡਿਪਲਾਇਮੈਂਟ ਦੇ ਤਿੰਨ ਪੜਾਅ

ਮਾਲਵੇਅਰ ਵਿੱਚ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਹਿੱਸੇ ਹੁੰਦੇ ਹਨ, ਹਰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ:

• ਪਲੱਸਡ੍ਰੌਪ: ਇੱਕ DLL ਜੋ ਮੈਮੋਰੀ ਵਿੱਚ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ।

ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਲਈ ਗੂਗਲ ਕੈਲੰਡਰ ਦੀ ਵਰਤੋਂ

TOUGHPROGRESS ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ Google ਕੈਲੰਡਰ ਨਾਲ ਇਵੈਂਟਾਂ ਨੂੰ ਪੜ੍ਹਨ ਅਤੇ ਲਿਖਣ ਲਈ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਹਾਰਡ-ਕੋਡਿਡ ਮਿਤੀ (2023-05-30) 'ਤੇ ਸੈੱਟ ਕੀਤੇ ਜ਼ੀਰੋ-ਮਿੰਟ ਇਵੈਂਟਾਂ ਦੇ ਨਾਲ ਇਵੈਂਟ ਵਰਣਨ ਵਿੱਚ ਇਕੱਠਾ ਕੀਤਾ ਡੇਟਾ ਸਟੋਰ ਕਰਦਾ ਹੈ। 30 ਅਤੇ 31 ਜੁਲਾਈ, 2023 ਨੂੰ ਕੈਲੰਡਰ ਇਵੈਂਟਾਂ ਵਿੱਚ ਰੱਖੇ ਗਏ ਏਨਕ੍ਰਿਪਟਡ ਕਮਾਂਡਾਂ, ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਪੋਲ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਡੀਕ੍ਰਿਪਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਚਲਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਨਤੀਜੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕੈਲੰਡਰ ਵਿੱਚ ਵਾਪਸ ਲਿਖੇ ਜਾਂਦੇ ਹਨ।

ਗੂਗਲ ਕਾਰਵਾਈ ਕਰਦਾ ਹੈ

ਗੂਗਲ ਨੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਗੂਗਲ ਕੈਲੰਡਰ ਨੂੰ ਹਟਾ ਕੇ ਅਤੇ ਸੰਬੰਧਿਤ ਵਰਕਸਪੇਸ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਖਤਮ ਕਰਕੇ ਦਖਲ ਦਿੱਤਾ ਹੈ, ਇਸ ਖਤਰਨਾਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਖਤਮ ਕਰ ਦਿੱਤਾ ਹੈ। ਪ੍ਰਭਾਵਿਤ ਸੰਗਠਨਾਂ ਨੂੰ ਸੁਚੇਤ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਪਰ ਮੁਹਿੰਮ ਦੀ ਪੂਰੀ ਹੱਦ ਅਣਜਾਣ ਹੈ।

APT41 ਦਾ ਕਲਾਉਡ ਦੁਰਵਿਵਹਾਰ ਦਾ ਇਤਿਹਾਸ

ਇਹ ਘਟਨਾ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ APT41 ਨੇ ਗੂਗਲ ਦੀਆਂ ਸੇਵਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ ਵਰਤਿਆ ਹੈ। ਅਪ੍ਰੈਲ 2023 ਵਿੱਚ, APT41 ਨੇ ਇੱਕ ਤਾਈਵਾਨੀ ਮੀਡੀਆ ਸੰਗਠਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, ਗੂਗਲ ਡਰਾਈਵ 'ਤੇ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਫਾਈਲਾਂ ਰਾਹੀਂ ਗੂਗਲ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (GC2) ਟੂਲ ਪ੍ਰਦਾਨ ਕੀਤਾ। ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, GC2 ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਗੂਗਲ ਸ਼ੀਟਾਂ ਤੋਂ ਕਮਾਂਡਾਂ ਪੜ੍ਹਨ ਅਤੇ ਗੂਗਲ ਡਰਾਈਵ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।