Zlonamerna programska oprema TOUGHPROGRESS
Raziskovalci so odkrili, da kitajski državni akter grožnje APT41 izkorišča novo odkrito zlonamerno programsko opremo z imenom TOUGHPROGRESS. Ta sofisticirana zlonamerna programska oprema uporablja Google Koledar kot kanal za upravljanje in nadzor (C2), kar APT41 omogoča, da nevarne dejavnosti združuje z legitimnim prometom.
Kazalo
Odkritje prikrite kampanje
Aktivnost je bila prvič zaznana konec oktobra 2024, ko je bil TOUGHPROGRESS nameščen na ogroženi vladni spletni strani. Namenjen je bil ciljanju na druge vladne subjekte, pri čemer je izkoriščal storitve v oblaku za prikrivanje svojega delovanja in izogibanje odkrivanju.
APT41: Znani sovražnik
APT41, ki jo spremljajo tudi kot Axiom, Blackfly, Brass Typhoon (prej Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda in Winnti, je razvpita nacionalna skupina, znana po napadih na svetovni ladijski promet, logistiko, medije, tehnologijo in avtomobilski sektor.
Julija 2024 je APT41 ciljal na več organizacij v Italiji, Španiji, Tajvanu, Tajski, Turčiji in Združenem kraljestvu z uporabo kombinacije spletnih lupin in orodij za odkrivanje napak, kot so ANTSWORD, BLUEBEAM, DUSTPAN in DUSTTRAP. Pred tem, marca 2024, je podskupina znotraj APT41 v okviru kampanje RevivalStone ciljala na japonska podjetja v proizvodnem, materialnem in energetskem sektorju.
Zavajajoča napadalna veriga
Najnovejša dokumentirana veriga napadov se začne z lažnimi e-poštnimi sporočili, ki pošiljajo povezavo do arhiva ZIP, ki gostuje na ogroženi vladni spletni strani. V datoteki ZIP se nahaja imenik in bližnjica sistema Windows (LNK), prikrita kot dokument PDF. Imenik vsebuje sedem slik členonožcev (od '1.jpg' do '7.jpg').
Okužba se začne, ko žrtev klikne na povezavo LNK, kar sproži vabljivo datoteko PDF, ki trdi, da je treba navedene vrste deklarirati za izvoz. Vendar sta datoteki »6.jpg« in »7.jpg« lažni sliki. V resnici je prva datoteka šifriran koristni tovor, ki ga dešifrira druga datoteka, DLL, ki se izvede, ko je aktivirana povezava LNK. Zlonamerna programska oprema uporablja prikrite taktike, kot so koristni tovori samo za pomnilnik, šifriranje, stiskanje in zakrivanje nadzornega toka, da se izogne odkritju.
Tri faze uvajanja zlonamerne programske opreme
Zlonamerna programska oprema je sestavljena iz treh različnih komponent, od katerih vsaka igra ključno vlogo:
- PLUSDROP: DLL, ki dešifrira in izvede naslednjo stopnjo v pomnilniku.
- PLUSINJECT: Izvede izpraznitev procesov v legitimnem procesu 'svchost.exe' za vbrizgavanje končnega koristnega tovora.
- TOUGHPROGRESS: Glavna zlonamerna programska oprema, ki izkorišča Google Koledar za C2.
Izkoriščanje Google Koledarja za poveljevanje in nadzor
TOUGHPROGRESS komunicira z Google Koledarjem, ki ga nadzoruje napadalec, za branje in zapisovanje dogodkov ter shranjuje zbrane podatke v opisih dogodkov, pri čemer so dogodki z ničelno minuto nastavljeni na trdo kodiran datum (2023-05-30). Zlonamerna programska oprema preveri šifrirane ukaze, nameščene v dogodkih v Koledarju 30. in 31. julija 2023, jih dešifrira in izvede na ogroženem gostitelju. Rezultati se zapišejo nazaj v Koledar, da jih napadalci lahko pridobijo.
Google ukrepa
Google je posredoval z odstranitvijo goljufivega Google Koledarja in ukinitvijo povezanih projektov Workspace, s čimer je dejansko razgradil to zlonamerno infrastrukturo. Prizadete organizacije so bile obveščene, vendar celoten obseg kampanje ostaja neznan.
Zgodovina zlorabe oblaka APT41
Ta incident ni prvič, da je APT41 manipuliral z Googlovimi storitvami v zlonamerne namene. Aprila 2023 je APT41 ciljal na tajvansko medijsko organizacijo in ji dostavil orodje Google Command and Control (GC2) prek datotek, zaščitenih z geslom, v storitvi Google Drive. Ko je bil GC2 nameščen, je napadalcem omogočil branje ukazov iz Google Preglednic in iztrganje podatkov z uporabo storitve Google Drive.
