TOUGHPROGRESS Malware

சீன அரசால் ஆதரிக்கப்படும் அச்சுறுத்தல் நிரலான APT41, TOUGHPROGRESS எனப்படும் புதிதாக அடையாளம் காணப்பட்ட தீம்பொருளைப் பயன்படுத்துவதாக ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த அதிநவீன தீம்பொருள் கூகிள் காலெண்டரை ஒரு கட்டளை மற்றும் கட்டுப்பாடு (C2) சேனலாகப் பயன்படுத்துகிறது, இது APT41 பாதுகாப்பற்ற செயல்பாட்டை முறையான போக்குவரத்துடன் கலக்க அனுமதிக்கிறது.

ஒரு திருட்டுத்தனமான பிரச்சாரத்தின் கண்டுபிடிப்பு

இந்தச் செயல்பாடு முதன்முதலில் அக்டோபர் 2024 இன் பிற்பகுதியில் கண்டறியப்பட்டது, TOUGHPROGRESS என்பது ஒரு சமரசம் செய்யப்பட்ட அரசாங்க வலைத்தளத்தில் ஹோஸ்ட் செய்யப்பட்டது. இது குறிப்பாக பிற அரசாங்க நிறுவனங்களை குறிவைத்து, அதன் செயல்பாடுகளை மறைத்து, கண்டறிதலைத் தவிர்க்க கிளவுட் சேவைகளைப் பயன்படுத்திக் கொண்டது.

APT41: ஒரு பரிச்சயமான எதிரி

APT41, Axiom, Blackfly, Brass Typhoon (முன்னர் Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda மற்றும் Winnti என்றும் அறியப்படுகிறது, இது உலகளாவிய கப்பல் போக்குவரத்து, தளவாடங்கள், ஊடகம், தொழில்நுட்பம் மற்றும் வாகனத் துறைகள் மீதான தாக்குதல்களுக்கு பெயர் பெற்ற ஒரு மோசமான தேசிய-அரசு குழுவாகும்.

ஜூலை 2024 இல், APT41, ANTSWORD, BLUEBEAM, DUSTPAN மற்றும் DUSTTRAP போன்ற வலை ஷெல்கள் மற்றும் டிராப்பர்களின் கலவையைப் பயன்படுத்தி இத்தாலி, ஸ்பெயின், தைவான், தாய்லாந்து, துருக்கி மற்றும் UK ஆகிய நாடுகளில் உள்ள பல நிறுவனங்களை குறிவைத்தது. முன்னதாக, மார்ச் 2024 இல், APT41 இல் உள்ள ஒரு துணைக்குழு, RevivalStone எனப்படும் பிரச்சாரத்தின் ஒரு பகுதியாக உற்பத்தி, பொருட்கள் மற்றும் எரிசக்தி துறைகளில் ஜப்பானிய நிறுவனங்களை குறிவைத்தது.

ஒரு ஏமாற்றும் தாக்குதல் சங்கிலி

சமீபத்திய ஆவணப்படுத்தப்பட்ட தாக்குதல் சங்கிலி, ஈட்டி-ஃபிஷிங் மின்னஞ்சல்கள், சமரசம் செய்யப்பட்ட அரசாங்க தளத்தில் ஹோஸ்ட் செய்யப்பட்ட ஒரு ZIP காப்பகத்திற்கான இணைப்பை வழங்குவதன் மூலம் தொடங்குகிறது. ZIP கோப்பின் உள்ளே ஒரு கோப்பகம் மற்றும் PDF ஆவணமாக மாறுவேடமிட்ட Windows குறுக்குவழி (LNK) உள்ளது. கோப்பகத்தில் ஆர்த்ரோபாட்களின் ஏழு படங்கள் ('1.jpg' முதல் '7.jpg' வரை) இருப்பதாகத் தெரிகிறது.

பாதிக்கப்பட்டவர் LNK-ஐ கிளிக் செய்யும்போது தொற்று தொடங்குகிறது, பட்டியலிடப்பட்ட இனங்கள் ஏற்றுமதிக்காக அறிவிக்கப்பட வேண்டும் என்று கூறும் ஒரு ஏமாற்று PDF-ஐத் தூண்டுகிறது. இருப்பினும், '6.jpg' மற்றும் '7.jpg' ஆகியவை போலியான படங்கள். உண்மையில், முதல் கோப்பு ஒரு மறைகுறியாக்கப்பட்ட பேலோடு ஆகும், இது இரண்டாவது கோப்பால் மறைகுறியாக்கப்படுகிறது, இது LNK செயல்படுத்தப்படும்போது செயல்படும் DLL ஆகும். கண்டறிதலைத் தவிர்க்க, தீம்பொருள் நினைவகம்-மட்டும் பேலோடுகள், குறியாக்கம், சுருக்கம் மற்றும் கட்டுப்பாட்டு ஓட்ட தெளிவின்மை போன்ற திருட்டுத்தனமான தந்திரங்களைப் பயன்படுத்துகிறது.

தீம்பொருள் பயன்படுத்தலின் மூன்று நிலைகள்

தீம்பொருள் மூன்று தனித்துவமான கூறுகளைக் கொண்டுள்ளது, ஒவ்வொன்றும் ஒரு முக்கிய பங்கைச் செய்கின்றன:

• பிளஸ் டிராப்: நினைவகத்தில் அடுத்த கட்டத்தை டிக்ரிப்ட் செய்து செயல்படுத்தும் ஒரு டிஎல்எல்.
• பிளஸ்இன்ஜெக்ட்: இறுதி பேலோடை செலுத்த ஒரு முறையான 'svchost.exe' செயல்பாட்டில் செயல்முறை ஹாலோயிங்கை நடத்துகிறது.

• கடினமான முன்னேற்றம்: C2 க்காக கூகிள் காலெண்டரைப் பயன்படுத்தும் முக்கிய தீம்பொருள்.

கட்டளை மற்றும் கட்டுப்பாட்டுக்காக கூகிள் காலெண்டரைப் பயன்படுத்துதல்

TOUGHPROGRESS, தாக்குதல் நடத்துபவர் கட்டுப்படுத்தும் Google Calendar உடன் தொடர்பு கொண்டு, நிகழ்வுகளைப் படித்து எழுதுகிறது, சேகரிக்கப்பட்ட தரவை நிகழ்வு விளக்கங்களில் சேமித்து, கடினக் குறியிடப்பட்ட தேதிக்கு (2023-05-30) அமைக்கப்பட்ட பூஜ்ஜிய நிமிட நிகழ்வுகளுடன் சேமிக்கிறது. ஜூலை 30 மற்றும் 31, 2023 அன்று காலண்டர் நிகழ்வுகளில் வைக்கப்படும் மறைகுறியாக்கப்பட்ட கட்டளைகள், தீம்பொருளால் வாக்களிக்கப்பட்டு, மறைகுறியாக்கப்பட்டு, சமரசம் செய்யப்பட்ட ஹோஸ்டில் செயல்படுத்தப்படுகின்றன. தாக்குபவர்கள் மீட்டெடுப்பதற்காக முடிவுகள் காலெண்டரில் மீண்டும் எழுதப்படும்.

கூகிள் நடவடிக்கை எடுக்கிறது

மோசடியான கூகிள் காலெண்டரை அகற்றி, அதனுடன் தொடர்புடைய பணியிட திட்டங்களை நிறுத்துவதன் மூலம் கூகிள் தலையிட்டுள்ளது, இதன் மூலம் இந்த தீங்கிழைக்கும் உள்கட்டமைப்பை திறம்பட அகற்றியுள்ளது. பாதிக்கப்பட்ட நிறுவனங்கள் எச்சரிக்கப்பட்டுள்ளன, ஆனால் பிரச்சாரத்தின் முழு அளவும் தெரியவில்லை.

APT41 இன் கிளவுட் துஷ்பிரயோக வரலாறு

இந்த சம்பவம் APT41 கூகிளின் சேவைகளை தீங்கிழைக்கும் நோக்கங்களுக்காக கையாள்வது முதல் முறை அல்ல. ஏப்ரல் 2023 இல், APT41 ஒரு தைவானிய ஊடக நிறுவனத்தை குறிவைத்து, கூகிள் டிரைவில் கடவுச்சொல் பாதுகாக்கப்பட்ட கோப்புகள் வழியாக கூகிள் கட்டளை மற்றும் கட்டுப்பாடு (GC2) கருவியை வழங்கியது. பயன்படுத்தப்பட்டவுடன், GC2 தாக்குபவர்கள் கூகிள் தாள்களிலிருந்து கட்டளைகளைப் படிக்கவும் கூகிள் டிரைவைப் பயன்படுத்தி தரவை வெளியேற்றவும் அனுமதித்தது.