Вредоносное ПО TOUGHPROGRESS
Исследователи обнаружили, что спонсируемый китайским государством киберпреступник APT41 использует недавно обнаруженную вредоносную программу под названием TOUGHPROGRESS. Эта сложная вредоносная программа использует Google Calendar в качестве канала управления и контроля (C2), что позволяет APT41 смешивать небезопасную активность с легитимным трафиком.
Оглавление
Раскрытие тайной кампании
Впервые активность была обнаружена в конце октября 2024 года, когда TOUGHPROGRESS размещался на взломанном правительственном веб-сайте. Он был специально развернут для атаки на другие правительственные учреждения, используя облачные сервисы для маскировки своих операций и избегания обнаружения.
APT41: Знакомый враг
APT41, также известная как Axiom, Blackfly, Brass Typhoon (ранее Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda и Winnti, — это печально известная государственная группировка, известная своими атаками на мировые судоходные, логистические, медиа, технологические и автомобильные секторы.
В июле 2024 года APT41 атаковала несколько организаций в Италии, Испании, Тайване, Таиланде, Турции и Великобритании, используя комбинацию веб-оболочек и дропперов, таких как ANTSWORD, BLUEBEAM, DUSTPAN и DUSTTRAP. Ранее, в марте 2024 года, подгруппа внутри APT41 атаковала японские компании в секторах производства, материалов и энергетики в рамках кампании, известной как RevivalStone.
Цепочка обманных атак
Последняя задокументированная цепочка атак начинается с фишинговых писем, содержащих ссылку на ZIP-архив, размещенный на взломанном правительственном сайте. Внутри ZIP-файла находится каталог и ярлык Windows (LNK), замаскированный под PDF-документ. Каталог, по-видимому, содержит семь изображений членистоногих (от «1.jpg» до «7.jpg»).
Инфекция начинается, когда жертва нажимает LNK, запуская ложный PDF-файл, который утверждает, что перечисленные виды должны быть объявлены для экспорта. Однако «6.jpg» и «7.jpg» являются поддельными изображениями. На самом деле, первый файл представляет собой зашифрованную полезную нагрузку, расшифрованную вторым файлом, DLL, которая выполняется при активации LNK. Вредоносная программа использует скрытые тактики, такие как полезные нагрузки только в памяти, шифрование, сжатие и обфускация потока управления, чтобы избежать обнаружения.
Три этапа развертывания вредоносного ПО
Вредоносная программа состоит из трех отдельных компонентов, каждый из которых выполняет важную роль:
- PLUSDROP: DLL, которая расшифровывает и выполняет следующий этап в памяти.
- PLUSINJECT: выполняет очистку процесса в легитимном процессе «svchost.exe» для внедрения окончательной полезной нагрузки.
- TOUGHPROGRESS: Основная вредоносная программа, использующая Google Calendar для C2.
Использование Google Calendar для управления и контроля
TOUGHPROGRESS взаимодействует с контролируемым злоумышленником Google Calendar для чтения и записи событий, сохраняя собранные данные в описаниях событий с событиями нулевой минуты, установленными на жестко закодированную дату (2023-05-30). Зашифрованные команды, помещенные в события Calendar 30 и 31 июля 2023 года, опрашиваются вредоносным ПО, расшифровываются и выполняются на скомпрометированном хосте. Результаты записываются обратно в Calendar для извлечения злоумышленниками.
Google принимает меры
Google вмешался, удалив мошеннический Google Calendar и прекратив связанные с ним проекты Workspace, фактически демонтировав эту вредоносную инфраструктуру. Пострадавшие организации были оповещены, но полный масштаб кампании остается неизвестным.
История злоупотреблений облаком APT41
Этот инцидент — не первый случай, когда APT41 манипулирует сервисами Google в вредоносных целях. В апреле 2023 года APT41 атаковала тайваньскую медиаорганизацию, предоставив инструмент Google Command and Control (GC2) через защищенные паролем файлы на Google Диске. После развертывания GC2 позволял злоумышленникам считывать команды из Google Таблиц и извлекать данные с помощью Google Диска.
