TOUGHPROGRESS Malware
Os pesquisadores descobriram que o agente de ameaças patrocinado pelo Estado chinês, APT41, está utilizando um malware recém-identificado chamado TOUGHPROGRESS. Este malware sofisticado utiliza o Google Agenda como um canal de Comando e Controle (C2), permitindo que o APT41 misture atividades inseguras com tráfego legítimo.
Índice
A Descoberta de uma Campanha Furtiva
A atividade foi detectada pela primeira vez no final de outubro de 2024, com o TOUGHPROGRESS hospedado em um site governamental comprometido. Ele foi implantado especificamente para atingir outras entidades governamentais, aproveitando serviços de nuvem para mascarar suas operações e evitar a detecção.
APT41: Um Inimigo Familiar
O APT41, também conhecido como Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda e Winnti, é um notório grupo de estados-nação conhecido por seus ataques aos setores globais de transporte marítimo, logística, mídia, tecnologia e automotivo.
Em julho de 2024, o APT41 teve como alvo diversas organizações na Itália, Espanha, Taiwan, Tailândia, Turquia e Reino Unido, usando uma combinação de shells e droppers da web, como ANTSWORD, BLUEBEAM, DUSTPAN e DUSTTRAP. Anteriormente, em março de 2024, um subgrupo do APT41 teve como alvo empresas japonesas dos setores de manufatura, materiais e energia, como parte de uma campanha conhecida como RevivalStone.
Uma Cadeia de Ataque Enganosa
A cadeia de ataque mais recente documentada começa com e-mails de spear-phishing que enviam um link para um arquivo ZIP hospedado no site governamental comprometido. Dentro do arquivo ZIP, há um diretório e um atalho do Windows (LNK) disfarçado de documento PDF. O diretório parece conter sete imagens de artrópodes (de "1.jpg" a "7.jpg").
A infecção começa quando a vítima clica no LNK, acionando um PDF falso que alega que as espécies listadas devem ser declaradas para exportação. No entanto, "6.jpg" e "7.jpg" são imagens falsas. Na realidade, o primeiro arquivo é um payload criptografado, descriptografado por um segundo arquivo, uma DLL que é executada quando o LNK é ativado. O malware utiliza táticas furtivas como payloads somente de memória, criptografia, compactação e ofuscação de fluxo de controle para evitar a detecção.
Os Três Estágios da Implantação de Malware
O malware consiste em três componentes distintos, cada um desempenhando uma função crucial:
- PLUSDROP: Uma DLL que descriptografa e executa o próximo estágio na memória.
- PLUSINJECT: Realiza o esvaziamento do processo em um processo legítimo 'svchost.exe' para injetar a carga final.
- TOUGHPROGRESS: O principal malware, que utiliza o Google Agenda para C2.
Explorando o Google Agenda para Comando e Controle
O TOUGHPROGRESS interage com um Google Agenda controlado pelo invasor para ler e gravar eventos, armazenando os dados coletados em descrições de eventos com eventos de zero minuto definidos para uma data codificada (30/05/2023). Comandos criptografados inseridos em eventos do Calendário em 30 e 31 de julho de 2023 são pesquisados pelo malware, descriptografados e executados no host comprometido. Os resultados são gravados no Calendário para que os invasores os recuperem.
As Medidas Tomadas pelo Google
O Google interveio removendo o Google Agenda fraudulento e encerrando os projetos do Workspace associados, desmantelando efetivamente essa infraestrutura maliciosa. As organizações afetadas foram alertadas, mas a extensão total da campanha permanece desconhecida.
O Histórico de Abuso da Nuvem pelo APT41
Este incidente não é a primeira vez que o APT41 manipula os serviços do Google para fins maliciosos. Em abril de 2023, o APT41 teve como alvo uma organização de mídia taiwanesa, distribuindo a ferramenta Google Command and Control (GC2) por meio de arquivos protegidos por senha no Google Drive. Uma vez implantado, o GC2 permitiu que invasores lessem comandos do Planilhas Google e extraíssem dados usando o Google Drive.
