Oprogramowanie złośliwe TOUGHPROGRESS
Badacze odkryli, że chiński państwowy aktor zagrożeń, APT41, wykorzystuje nowo zidentyfikowane złośliwe oprogramowanie o nazwie TOUGHPROGRESS. To wyrafinowane złośliwe oprogramowanie wykorzystuje Kalendarz Google jako kanał Command-and-Control (C2), umożliwiając APT41 łączenie niebezpiecznej aktywności z legalnym ruchem.
Spis treści
Odkrycie tajnej kampanii
Aktywność została po raz pierwszy wykryta pod koniec października 2024 r., a TOUGHPROGRESS był hostowany na zainfekowanej stronie internetowej rządu. Został on specjalnie wdrożony, aby atakować inne podmioty rządowe, wykorzystując usługi w chmurze do maskowania swoich operacji i unikania wykrycia.
APT41: Znajomy wróg
APT41, znana również pod nazwami Axiom, Blackfly, Brass Typhoon (dawniej Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda i Winnti, to osławiona grupa państwowa słynąca z ataków na globalny sektor żeglugi, logistyki, mediów, technologii i motoryzacji.
W lipcu 2024 r. APT41 zaatakowało wiele organizacji we Włoszech, Hiszpanii, na Tajwanie, w Tajlandii, Turcji i Wielkiej Brytanii, używając kombinacji powłok internetowych i dropperów, takich jak ANTSWORD, BLUEBEAM, DUSTPAN i DUSTTRAP. Wcześniej, w marcu 2024 r., podgrupa w ramach APT41 zaatakowała japońskie firmy z sektora produkcyjnego, materiałowego i energetycznego w ramach kampanii znanej jako RevivalStone.
Oszukańczy łańcuch ataków
Najnowszy udokumentowany łańcuch ataków zaczyna się od e-maili typu spear-phishing, które zawierają link do archiwum ZIP hostowanego na zainfekowanej stronie rządowej. Wewnątrz pliku ZIP znajduje się katalog i skrót Windows (LNK) zamaskowany jako dokument PDF. Katalog wydaje się zawierać siedem obrazów stawonogów (od „1.jpg” do „7.jpg”).
Infekcja rozpoczyna się, gdy ofiara kliknie LNK, uruchamiając plik PDF, który twierdzi, że wymienione gatunki muszą zostać zadeklarowane do eksportu. Jednak „6.jpg” i „7.jpg” to fałszywe obrazy. W rzeczywistości pierwszy plik jest zaszyfrowanym ładunkiem, odszyfrowanym przez drugi plik, bibliotekę DLL, która jest wykonywana, gdy LNK jest aktywowany. Złośliwe oprogramowanie wykorzystuje taktyki ukryte, takie jak ładunki tylko do pamięci, szyfrowanie, kompresja i zaciemnianie przepływu sterowania, aby uniknąć wykrycia.
Trzy etapy wdrażania złośliwego oprogramowania
Złośliwe oprogramowanie składa się z trzech odrębnych komponentów, z których każdy pełni istotną rolę:
- PLUSDROP: Biblioteka DLL, która odszyfrowuje i wykonuje następny etap w pamięci.
- PLUSINJECT: Przeprowadza drążenie procesów w legalnym procesie „svchost.exe” w celu wstrzyknięcia ostatecznego ładunku.
- TOUGHPROGRESS: Główne złośliwe oprogramowanie wykorzystujące Kalendarz Google do C2.
Wykorzystanie Kalendarza Google do dowodzenia i kontroli
TOUGHPROGRESS współpracuje z kontrolowanym przez atakującego Kalendarzem Google, aby odczytywać i zapisywać zdarzenia, przechowując zebrane dane w opisach zdarzeń z wydarzeniami zerowej minuty ustawionymi na zakodowaną datę (2023-05-30). Zaszyfrowane polecenia umieszczone w zdarzeniach Kalendarza 30 i 31 lipca 2023 r. są sprawdzane przez złośliwe oprogramowanie, odszyfrowywane i wykonywane na zainfekowanym hoście. Wyniki są zapisywane z powrotem do Kalendarza, aby atakujący mogli je pobrać.
Google podejmuje działania
Google interweniowało, usuwając oszukańczy Kalendarz Google i zamykając powiązane projekty Workspace, skutecznie demontując tę złośliwą infrastrukturę. Dotknięte organizacje zostały powiadomione, ale pełny zakres kampanii pozostaje nieznany.
Historia nadużyć w chmurze APT41
Ten incydent nie jest pierwszym razem, gdy APT41 manipulowało usługami Google w złośliwych celach. W kwietniu 2023 r. APT41 zaatakowało tajwańską organizację medialną, dostarczając narzędzie Google Command and Control (GC2) za pośrednictwem chronionych hasłem plików na Dysku Google. Po wdrożeniu GC2 umożliwiło atakującym odczytywanie poleceń z Arkuszy Google i eksfiltrację danych za pomocą Dysku Google.
