Škodlivý softvér TOUGHPROGRESS
Výskumníci zistili, že čínsky štátom sponzorovaný malvér APT41 využíva novo identifikovaný malvér s názvom TOUGHPROGRESS. Tento sofistikovaný malvér využíva Kalendár Google ako kanál Command-and-Control (C2), čo umožňuje APT41 kombinovať nebezpečnú aktivitu s legitímnou prevádzkou.
Obsah
Objav tajnej kampane
Aktivita bola prvýkrát zistená koncom októbra 2024, keď bol TOUGHPROGRESS hostovaný na kompromitovanej vládnej webovej stránke. Bol cielene nasadený na zacielenie na iné vládne subjekty, pričom využíval cloudové služby na maskovanie svojich operácií a vyhýbanie sa odhaleniu.
APT41: Známy nepriateľ
APT41, sledovaná aj ako Axiom, Blackfly, Brass Typhoon (predtým Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda a Winnti, je notoricky známa skupina národných štátov známa svojimi útokmi na globálny sektor lodnej dopravy, logistiky, médií, technológií a automobilového priemyslu.
V júli 2024 sa APT41 zamerala na viacero organizácií v Taliansku, Španielsku, na Taiwane, v Thajsku, Turecku a Spojenom kráľovstve pomocou kombinácie webových shellov a dropperov ako ANTSWORD, BLUEBEAM, DUSTPAN a DUSTTRAP. Predtým, v marci 2024, sa podskupina v rámci APT41 zamerala na japonské spoločnosti v sektore výroby, materiálov a energetiky v rámci kampane známej ako RevivalStone.
Klamlivý reťazec útokov
Najnovší zdokumentovaný reťazec útokov začína phishingovými e-mailmi, ktoré posielajú odkaz na ZIP archív umiestnený na napadnutej vládnej stránke. Vo vnútri ZIP súboru sa nachádza adresár a skratka systému Windows (LNK) maskované ako PDF dokument. Adresár zrejme obsahuje sedem obrázkov článkonožcov („1.jpg“ až „7.jpg“).
Infekcia sa spustí, keď obeť klikne na LNK, čím sa spustí návnadový PDF súbor, ktorý tvrdí, že uvedené druhy musia byť deklarované na export. Obrázky „6.jpg“ a „7.jpg“ sú však falošné obrázky. V skutočnosti je prvý súbor zašifrovaný dátový súbor, dešifrovaný druhým súborom, DLL, ktorý sa spustí pri aktivácii LNK. Malvér používa stealth taktiky, ako sú dáta iba v pamäti, šifrovanie, kompresia a zahmlievanie riadiaceho toku, aby sa vyhol odhaleniu.
Tri fázy nasadenia škodlivého softvéru
Škodlivý softvér sa skladá z troch odlišných komponentov, z ktorých každý plní kľúčovú úlohu:
- PLUSDROP: DLL, ktorá dešifruje a vykoná ďalší krok v pamäti.
- PLUSINJECT: Vykoná vyprázdnenie procesu v legitímnom procese „svchost.exe“ na vstreknutie finálneho užitočného zaťaženia.
- TOUGHPROGRESS: Hlavný malvér, ktorý využíva Kalendár Google pre C2.
Využívanie Kalendára Google na velenie a kontrolu
TOUGHPROGRESS interaguje s útočníkom ovládaným Kalendárom Google, aby čítal a zapisoval udalosti, pričom ukladá zozbierané údaje do popisov udalostí s udalosťami s nulovým dátumom nastaveným na pevne zakódovaný dátum (2023-05-30). Zašifrované príkazy umiestnené v udalostiach Kalendára 30. a 31. júla 2023 sú malvérom vyzvané, dešifrované a vykonané na napadnutom hostiteľovi. Výsledky sú zapísané späť do Kalendára, aby si ich útočníci mohli načítať.
Google podniká kroky
Spoločnosť Google zasiahla odstránením podvodného Kalendára Google a ukončením súvisiacich projektov Workspace, čím efektívne rozložila túto škodlivú infraštruktúru. Dotknuté organizácie boli upozornené, ale úplný rozsah kampane zostáva neznámy.
História zneužívania cloudu spoločnosťou APT41
Tento incident nie je prvýkrát, čo APT41 manipuluje so službami spoločnosti Google na škodlivé účely. V apríli 2023 sa APT41 zamerala na taiwanskú mediálnu organizáciu a poskytovala nástroj Google Command and Control (GC2) prostredníctvom súborov chránených heslom na Disku Google. Po nasadení GC2 umožňoval útočníkom čítať príkazy z Tabuliek Google a získavať údaje pomocou Disku Google.
