Злонамерни софтвер TOUGHPROGRESS
Истраживачи су открили да кинески државни актер претње, APT41, користи новоидентификовани малвер под називом TOUGHPROGRESS. Овај софистицирани малвер користи Google календар као канал за командовање и контролу (C2), омогућавајући APT41 да комбинује небезбедне активности са легитимним саобраћајем.
Преглед садржаја
Откриће прикривене кампање
Активност је први пут откривена крајем октобра 2024. године, када је TOUGHPROGRESS био хостован на компромитованој владиној веб страници. Био је посебно распоређен да циља друге владине ентитете, користећи клауд сервисе како би прикрио своје операције и избегао откривање.
APT41: Познати непријатељ
APT41, такође праћена као Axiom, Blackfly, Brass Typhoon (раније Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda и Winnti, је озлоглашена национално-државна група позната по својим нападима на глобални сектор бродарства, логистике, медија, технологије и аутомобилске технологије.
У јулу 2024. године, APT41 је циљао више организација у Италији, Шпанији, Тајвану, Тајланду, Турској и Великој Британији користећи комбинацију веб-шкољки и дропера као што су ANTSWORD, BLUEBEAM, DUSTPAN и DUSTTRAP. Раније, у марту 2024. године, подгрупа унутар APT41 је циљала јапанске компаније у секторима производње, материјала и енергетике као део кампање познате као RevivalStone.
Ланац обмањујућих напада
Најновији документовани ланац напада почиње фишинг имејловима који шаљу линк ка ZIP архиви која се налази на компромитованом владином сајту. Унутар ZIP датотеке налази се директоријум и Windows пречица (LNK) прерушена у PDF документ. Директоријум изгледа садржи седам слика зглавка (од „1.jpg“ до „7.jpg“).
Инфекција почиње када жртва кликне на LNK, покрећући ПДФ мамац који тврди да наведене врсте морају бити декларисане за извоз. Међутим, „6.jpg“ и „7.jpg“ су лажне слике. У стварности, прва датотека је шифровани корисни терет, који дешифрује друга датотека, DLL која се извршава када се активира LNK. Злонамерни софтвер користи тактике прикривености као што су корисни терет само за меморију, шифровање, компресија и замагљивање тока контроле како би избегао откривање.
Три фазе примене злонамерног софтвера
Злонамерни софтвер се састоји од три различите компоненте, од којих свака игра кључну улогу:
- PLUSDROP: DLL који дешифрује и извршава следећу фазу у меморији.
- PLUSINJECT: Врши „шупљивање“ процеса на легитимном процесу „svchost.exe“ ради убризгавања коначног корисног оптерећења.
- TOUGHPROGRESS: Главни злонамерни софтвер који користи Google календар за C2.
Искоришћавање Гугл календара за командовање и контролу
TOUGHPROGRESS интерагује са Google календаром којим управља нападач како би читао и писао догађаје, чувајући прикупљене податке у описима догађаја са догађајима од нултог минута подешеним на чврсто кодирани датум (2023-05-30). Злонамерни софтвер испитује шифроване команде постављене у догађаје у Календару 30. и 31. јула 2023. године, дешифрује их и извршава на компромитованом хосту. Резултати се записују назад у Календар како би их нападачи могли преузети.
Гугл предузима мере
Гугл је интервенисао уклањањем лажног Гугл календара и окончањем повезаних Workspace пројеката, ефикасно демонтирајући ову злонамерну инфраструктуру. Погођене организације су упозорене, али пуни обим кампање остаје непознат.
Историја злоупотребе облака од стране APT41
Овај инцидент није први пут да је APT41 манипулисао Google-овим услугама у злонамерне сврхе. У априлу 2023. године, APT41 је циљао тајванску медијску организацију, испоручујући алат Google Command and Control (GC2) путем датотека заштићених лозинком на Google диску. Једном постављен, GC2 је омогућио нападачима да читају команде из Google табела и краду податке користећи Google диск.
