TOUGHPROGRESS Malware
Studiuesit kanë zbuluar se aktori kërcënues i sponsorizuar nga shteti kinez, APT41, po shfrytëzon një program keqdashës të sapo identifikuar të quajtur TOUGHPROGRESS. Ky program keqdashës i sofistikuar përdor Google Calendar si një kanal Komandë-dhe-Kontroll (C2), duke i lejuar APT41 të përziejë aktivitetin e pasigurt me trafikun legjitim.
Tabela e Përmbajtjes
Zbulimi i një fushate të fshehtë
Aktiviteti u zbulua për herë të parë në fund të tetorit 2024, me TOUGHPROGRESS të vendosur në një faqe interneti qeveritare të kompromentuar. Ai u vendos posaçërisht për të synuar entitete të tjera qeveritare, duke përfituar nga shërbimet cloud për të maskuar operacionet e tij dhe për të shmangur zbulimin.
APT41: Një armik i njohur
APT41, i njohur edhe si Axiom, Blackfly, Brass Typhoon (më parë Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda dhe Winnti, është një grup famëkeq shtetëror i njohur për sulmet e tij ndaj sektorëve globalë të transportit detar, logjistikës, medias, teknologjisë dhe automobilave.
Në korrik 2024, APT41 shënjestroi organizata të shumta në Itali, Spanjë, Tajvan, Tajlandë, Turqi dhe Mbretërinë e Bashkuar duke përdorur një kombinim të Web shells dhe droppers si ANTSWORD, BLUEBEAM, DUSTPAN dhe DUSTTRAP. Më parë, në mars 2024, një nëngrup brenda APT41 shënjestroi kompanitë japoneze në sektorët e prodhimit, materialeve dhe energjisë si pjesë e një fushate të njohur si RevivalStone.
Një Zinxhir Sulmesh Mashtrues
Zinxhiri i fundit i dokumentuar i sulmeve fillon me email-e spear-phishing që dërgojnë një lidhje për një arkiv ZIP të vendosur në faqen e qeverisë së kompromentuar. Brenda skedarit ZIP është një drejtori dhe një shkurtore e Windows (LNK) e maskuar si një dokument PDF. Drejtoria duket se përmban shtatë imazhe të artropodëve ('1.jpg' deri në '7.jpg').
Infeksioni fillon kur viktima klikon LNK-në, duke shkaktuar një PDF mashtrues që pretendon se speciet e listuara duhet të deklarohen për eksport. Megjithatë, '6.jpg' dhe '7.jpg' janë imazhe të rreme. Në realitet, skedari i parë është një ngarkesë e enkriptuar, e dekriptuar nga një skedar i dytë, një DLL që ekzekutohet kur aktivizohet LNK. Malware përdor taktika të fshehta si ngarkesa vetëm për memorien, enkriptim, kompresim dhe bllokim të rrjedhës së kontrollit për të shmangur zbulimin.
Tre Fazat e Vendosjes së Malware-it
Malware përbëhet nga tre komponentë të dallueshëm, secili prej të cilëve luan një rol vendimtar:
- PLUSDROP: Një DLL që dekripton dhe ekzekuton fazën tjetër në memorie.
- PLUSINJECT: Kryen zbërthim të procesit në një proces legjitim 'svchost.exe' për të injektuar ngarkesën përfundimtare.
- TOUGHPROGRESS: Malware-i kryesor, i cili shfrytëzon Google Calendar për C2.
Shfrytëzimi i Kalendarit Google për Komandë dhe Kontroll
TOUGHPROGRESS bashkëvepron me një Kalendar Google të kontrolluar nga sulmuesi për të lexuar dhe shkruar ngjarje, duke ruajtur të dhënat e mbledhura në përshkrimet e ngjarjeve me ngjarje zero-minutëshe të vendosura në një datë të koduar (2023-05-30). Komandat e enkriptuara të vendosura në ngjarjet e Kalendarit më 30 dhe 31 korrik 2023, pyeten nga programi keqdashës, dekriptohen dhe ekzekutohen në hostin e kompromentuar. Rezultatet shkruhen përsëri në Kalendar që sulmuesit t'i marrin.
Google Ndërmerr Veprime
Google ka ndërhyrë duke hequr Google Calendar mashtrues dhe duke mbyllur projektet e lidhura me Workspace, duke çmontuar në mënyrë efektive këtë infrastrukturë dashakeqe. Organizatat e prekura janë njoftuar, por shkalla e plotë e fushatës mbetet e panjohur.
Historia e abuzimit me cloud-in e APT41
Ky incident nuk është hera e parë që APT41 ka manipuluar shërbimet e Google për qëllime keqdashëse. Në prill të vitit 2023, APT41 shënjestroi një organizatë mediatike tajvaneze, duke ofruar mjetin Google Command and Control (GC2) nëpërmjet skedarëve të mbrojtur me fjalëkalim në Google Drive. Pasi u vendos, GC2 u lejoi sulmuesve të lexonin komanda nga Google Sheets dhe të nxirrnin të dhëna duke përdorur Google Drive.
