TOUGHPROGRESS-skadlig programvara
Forskare har upptäckt att den kinesiska statssponsrade hotaktören APT41 utnyttjar en nyligen identifierad skadlig kod som heter TOUGHPROGRESS. Denna sofistikerade skadliga kod använder Google Kalender som en kommando- och kontrollkanal (C2), vilket gör det möjligt för APT41 att blanda osäker aktivitet med legitim trafik.
Innehållsförteckning
Upptäckten av en smygande kampanj
Aktiviteten upptäcktes först i slutet av oktober 2024, då TOUGHPROGRESS låg på en komprometterad myndighetswebbplats. Den användes specifikt för att rikta in sig på andra myndigheter och utnyttja molntjänster för att maskera sin verksamhet och undvika upptäckt.
APT41: En välbekant fiende
APT41, även känd som Axiom, Blackfly, Brass Typhoon (tidigare Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda och Winnti, är en ökänd nationalstatsgrupp känd för sina attacker mot global sjöfart, logistik, media, teknik och fordonssektorer.
I juli 2024 riktade APT41 in sig på flera organisationer i Italien, Spanien, Taiwan, Thailand, Turkiet och Storbritannien med hjälp av en kombination av Web shells och droppers som ANTSWORD, BLUEBEAM, DUSTPAN och DUSTTRAP. Tidigare, i mars 2024, riktade en undergrupp inom APT41 in sig på japanska företag inom tillverknings-, material- och energisektorerna som en del av en kampanj känd som RevivalStone.
En bedräglig attackkedja
Den senast dokumenterade attackkedjan börjar med spear-phishing-mejl som levererar en länk till ett ZIP-arkiv som finns på den komprometterade myndighetswebbplatsen. Inuti ZIP-filen finns en katalog och en Windows-genväg (LNK) förklädda till ett PDF-dokument. Katalogen verkar innehålla sju bilder av leddjur ('1.jpg' till '7.jpg').
Infektionen startar när offret klickar på LNK:n, vilket utlöser en PDF-fil som påstår att den listade arten måste deklareras för export. Bilderna '6.jpg' och '7.jpg' är dock falska bilder. I verkligheten är den första filen en krypterad nyttolast, dekrypterad av en andra fil, en DLL, som körs när LNK:n aktiveras. Skadlig programvara använder smygande taktiker som minnesbaserade nyttolaster, kryptering, komprimering och kontrollflödesförvirring för att undvika upptäckt.
De tre stegen i distribution av skadlig kod
Skadlig programvara består av tre distinkta komponenter, som var och en spelar en avgörande roll:
- PLUSDROP: En DLL som dekrypterar och kör nästa steg i minnet.
- PLUSINJECT: Utför processhollowing på en legitim 'svchost.exe'-process för att injicera den slutliga nyttolasten.
- TOUGHPROGRESS: Den huvudsakliga skadliga programvaran, som utnyttjar Google Kalender för C2.
Utnyttja Google Kalender för kommando och kontroll
TOUGHPROGRESS interagerar med en angriparstyrd Google Kalender för att läsa och skriva händelser, och lagrar insamlad data i händelsebeskrivningar med nollminutershändelser inställda på ett hårdkodat datum (2023-05-30). Krypterade kommandon som placeras i kalenderhändelser den 30 och 31 juli 2023, avsöks av skadlig programvara, dekrypteras och körs på den komprometterade värden. Resultaten skrivs tillbaka till kalendern för att angriparna ska kunna hämta dem.
Google vidtar åtgärder
Google har ingripit genom att ta bort den bedrägliga Google Kalender och avsluta tillhörande Workspace-projekt, vilket i praktiken har avvecklat denna skadliga infrastruktur. Berörda organisationer har varnats, men kampanjens fulla omfattning är fortfarande okänd.
APT41:s historia av molnmissbruk
Denna incident är inte första gången APT41 har manipulerat Googles tjänster för skadliga syften. I april 2023 riktade APT41 in sig på en taiwanesisk medieorganisation och levererade verktyget Google Command and Control (GC2) via lösenordsskyddade filer på Google Drive. När GC2 väl hade driftsatts tillät det angripare att läsa kommandon från Google Sheets och stjäla data med hjälp av Google Drive.
