Programe malware TOUGHPROGRESS
Cercetătorii au descoperit că actorul malware sponsorizat de statul chinez, APT41, utilizează un malware recent identificat numit TOUGHPROGRESS. Acest malware sofisticat folosește Google Calendar ca un canal de comandă și control (C2), permițând APT41 să combine activități nesigure cu trafic legitim.
Cuprins
Descoperirea unei campanii discrete
Activitatea a fost detectată pentru prima dată la sfârșitul lunii octombrie 2024, TOUGHPROGRESS fiind găzduit pe un site web guvernamental compromis. Acesta a fost implementat special pentru a viza alte entități guvernamentale, profitând de serviciile cloud pentru a-și masca operațiunile și a evita detectarea.
APT41: Un dușman familiar
APT41, cunoscut și sub denumirile Axiom, Blackfly, Brass Typhoon (fostul Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda și Winnti, este un grup național-stat notoriu, cunoscut pentru atacurile sale asupra sectoarelor globale de transport maritim, logistică, mass-media, tehnologie și automobile.
În iulie 2024, APT41 a vizat mai multe organizații din Italia, Spania, Taiwan, Thailanda, Turcia și Regatul Unit, folosind o combinație de dispozitive Web Shell și dropper-uri precum ANTSWORD, BLUEBEAM, DUSTPAN și DUSTTRAP. Anterior, în martie 2024, un subgrup din cadrul APT41 a vizat companii japoneze din sectoarele producției, materialelor și energiei, ca parte a unei campanii cunoscute sub numele de RevivalStone.
Un lanț de atacuri înșelătoare
Cel mai recent lanț de atacuri documentat începe cu e-mailuri de tip spear-phishing care transmit un link către o arhivă ZIP găzduită pe site-ul guvernamental compromis. În interiorul fișierului ZIP se află un director și o comandă rapidă Windows (LNK) deghizate în document PDF. Directorul pare să conțină șapte imagini cu artropode („1.jpg” până la „7.jpg”).
Infecția începe atunci când victima dă clic pe LNK, declanșând un PDF capcană care susține că speciile listate trebuie declarate pentru export. Cu toate acestea, „6.jpg” și „7.jpg” sunt imagini false. În realitate, primul fișier este o sarcină criptată, decriptată de un al doilea fișier, un DLL care se execută atunci când LNK este activat. Malware-ul folosește tactici stealth, cum ar fi sarcine utile doar de memorie, criptare, compresie și ofuscare a fluxului de control pentru a evita detectarea.
Cele trei etape ale implementării programelor malware
Malware-ul este alcătuit din trei componente distincte, fiecare având un rol crucial:
- PLUSDROP: O DLL care decriptează și execută următoarea etapă în memorie.
- PLUSINJECT: Efectuează o injectare a datelor de proces într-un proces legitim „svchost.exe” pentru a injecta sarcina utilă finală.
- TOUGHPROGRESS: Principalul malware, care utilizează Google Calendar pentru C2.
Exploatarea Google Calendar pentru comandă și control
TOUGHPROGRESS interacționează cu un calendar Google controlat de atacatori pentru a citi și scrie evenimente, stocând datele colectate în descrieri de evenimente cu evenimente de zero minute setate la o dată codificată fix (30.05.2023). Comenzile criptate plasate în evenimentele din calendar din 30 și 31 iulie 2023 sunt interogate de malware, decriptate și executate pe gazda compromisă. Rezultatele sunt scrise înapoi în calendar pentru ca atacatorii să le poată recupera.
Google ia măsuri
Google a intervenit prin eliminarea aplicației frauduloase Google Calendar și prin încheierea proiectelor Workspace asociate, demontând efectiv această infrastructură rău intenționată. Organizațiile afectate au fost alertate, dar amploarea completă a campaniei rămâne necunoscută.
Istoricul abuzului în cloud al APT41
Acest incident nu este prima dată când APT41 a manipulat serviciile Google în scopuri rău intenționate. În aprilie 2023, APT41 a vizat o organizație media taiwaneză, livrând instrumentul Google Command and Control (GC2) prin intermediul unor fișiere protejate prin parolă pe Google Drive. Odată implementat, GC2 le-a permis atacatorilor să citească comenzi din Foi de calcul Google și să exfiltreze date folosind Google Drive.
