TOUGHPROGRESS Malware

చైనా ప్రభుత్వం ప్రాయోజిత బెదిరింపు సంస్థ APT41, TOUGHPROGRESS అనే కొత్తగా గుర్తించబడిన మాల్వేర్‌ను ఉపయోగిస్తుందని పరిశోధకులు కనుగొన్నారు. ఈ అధునాతన మాల్వేర్ Google క్యాలెండర్‌ను కమాండ్-అండ్-కంట్రోల్ (C2) ఛానెల్‌గా ఉపయోగిస్తుంది, APT41 అసురక్షిత కార్యకలాపాలను చట్టబద్ధమైన ట్రాఫిక్‌తో కలపడానికి అనుమతిస్తుంది.

ఒక రహస్య ప్రచారం యొక్క ఆవిష్కరణ

ఈ కార్యకలాపం మొదట అక్టోబర్ 2024 చివరలో గుర్తించబడింది, TOUGHPROGRESS అనేది రాజీపడిన ప్రభుత్వ వెబ్‌సైట్‌లో హోస్ట్ చేయబడింది. ఇది ప్రత్యేకంగా ఇతర ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకోవడానికి, దాని కార్యకలాపాలను దాచడానికి మరియు గుర్తింపును తప్పించుకోవడానికి క్లౌడ్ సేవలను ఉపయోగించుకోవడానికి ఉపయోగించబడింది.

APT41: సుపరిచితమైన శత్రువు

APT41, ఆక్సియం, బ్లాక్‌ఫ్లై, బ్రాస్ టైఫూన్ (గతంలో బేరియం), బ్రాంజ్ అట్లాస్, ఎర్త్ బాకు, హుడూ, రెడ్‌గోల్ఫ్, రెడ్ కెల్పీ, TA415, వికెడ్ పాండా మరియు వింటి అని కూడా ట్రాక్ చేయబడింది, ఇది ప్రపంచ షిప్పింగ్, లాజిస్టిక్స్, మీడియా, టెక్నాలజీ మరియు ఆటోమోటివ్ రంగాలపై దాడులకు ప్రసిద్ధి చెందిన ఒక అపఖ్యాతి పాలైన జాతీయ-రాష్ట్ర సమూహం.

జూలై 2024లో, APT41 ఇటలీ, స్పెయిన్, తైవాన్, థాయిలాండ్, టర్కీ మరియు UKలోని బహుళ సంస్థలను లక్ష్యంగా చేసుకుంది, ఇది ANTSWORD, BLUEBEAM, DUSTPAN మరియు DUSTTRAP వంటి వెబ్ షెల్‌లు మరియు డ్రాపర్‌ల కలయికను ఉపయోగించి జరిగింది. అంతకుముందు, మార్చి 2024లో, APT41లోని ఒక ఉప సమూహం RevivalStone అని పిలువబడే ప్రచారంలో భాగంగా తయారీ, పదార్థాలు మరియు ఇంధన రంగాలలోని జపనీస్ కంపెనీలను లక్ష్యంగా చేసుకుంది.

మోసపూరిత దాడి గొలుసు

తాజాగా డాక్యుమెంట్ చేయబడిన దాడి గొలుసు స్పియర్-ఫిషింగ్ ఇమెయిల్‌లు రాజీపడిన ప్రభుత్వ సైట్‌లో హోస్ట్ చేయబడిన జిప్ ఆర్కైవ్‌కు లింక్‌ను అందించడంతో ప్రారంభమవుతుంది. జిప్ ఫైల్ లోపల ఒక డైరెక్టరీ మరియు PDF డాక్యుమెంట్ వలె మారువేషంలో ఉన్న విండోస్ షార్ట్‌కట్ (LNK) ఉన్నాయి. డైరెక్టరీలో ఆర్థ్రోపోడ్‌ల ఏడు చిత్రాలు ('1.jpg' నుండి '7.jpg' వరకు) ఉన్నట్లు కనిపిస్తోంది.

బాధితుడు LNK పై క్లిక్ చేసినప్పుడు ఇన్ఫెక్షన్ ప్రారంభమవుతుంది, జాబితా చేయబడిన జాతులను ఎగుమతి కోసం ప్రకటించాలని క్లెయిమ్ చేసే డెకోయ్ PDFని ప్రేరేపిస్తుంది. అయితే, '6.jpg' మరియు '7.jpg' నకిలీ చిత్రాలు. వాస్తవానికి, మొదటి ఫైల్ ఎన్‌క్రిప్టెడ్ పేలోడ్, రెండవ ఫైల్ ద్వారా డీక్రిప్ట్ చేయబడుతుంది, ఇది LNK యాక్టివేట్ అయినప్పుడు అమలు చేసే DLL. మాల్వేర్ గుర్తింపును నివారించడానికి మెమరీ-ఓన్లీ పేలోడ్‌లు, ఎన్‌క్రిప్షన్, కంప్రెషన్ మరియు కంట్రోల్ ఫ్లో మసకబారడం వంటి స్టీల్త్ వ్యూహాలను ఉపయోగిస్తుంది.

మాల్వేర్ విస్తరణ యొక్క మూడు దశలు

మాల్వేర్ మూడు విభిన్న భాగాలను కలిగి ఉంటుంది, ప్రతి ఒక్కటి కీలక పాత్ర పోషిస్తాయి:

• ప్లస్‌డ్రాప్: మెమరీలో తదుపరి దశను డీక్రిప్ట్ చేసి అమలు చేసే DLL.
• ప్లస్‌ఇన్‌జెక్ట్: తుది పేలోడ్‌ను ఇంజెక్ట్ చేయడానికి చట్టబద్ధమైన 'svchost.exe' ప్రక్రియపై ప్రాసెస్ హాలోయింగ్‌ను నిర్వహిస్తుంది.

• కఠినమైన పురోగతి: C2 కోసం Google క్యాలెండర్‌ను ఉపయోగించే ప్రధాన మాల్వేర్.

కమాండ్ మరియు కంట్రోల్ కోసం Google క్యాలెండర్‌ను ఉపయోగించడం

TOUGHPROGRESS దాడి చేసేవారి నియంత్రణలో ఉన్న Google క్యాలెండర్‌తో ఈవెంట్‌లను చదవడానికి మరియు వ్రాయడానికి సంకర్షణ చెందుతుంది, సేకరించిన డేటాను హార్డ్-కోడెడ్ తేదీ (2023-05-30) కు సెట్ చేయబడిన సున్నా-నిమిషాల ఈవెంట్‌లతో ఈవెంట్ వివరణలలో నిల్వ చేస్తుంది. జూలై 30 మరియు 31, 2023న క్యాలెండర్ ఈవెంట్‌లలో ఉంచబడిన ఎన్‌క్రిప్ట్ చేయబడిన ఆదేశాలను మాల్వేర్ పోల్ చేస్తుంది, డీక్రిప్ట్ చేస్తుంది, రాజీపడిన హోస్ట్‌పై అమలు చేస్తుంది. దాడి చేసేవారు తిరిగి పొందడానికి ఫలితాలు క్యాలెండర్‌కు తిరిగి వ్రాయబడతాయి.

గూగుల్ చర్య తీసుకుంటుంది

మోసపూరితమైన Google క్యాలెండర్‌ను తొలగించడం ద్వారా మరియు అనుబంధ Workspace ప్రాజెక్ట్‌లను ముగించడం ద్వారా Google జోక్యం చేసుకుంది, ఈ హానికరమైన మౌలిక సదుపాయాలను సమర్థవంతంగా నిర్వీర్యం చేసింది. ప్రభావిత సంస్థలను అప్రమత్తం చేశారు, కానీ ప్రచారం యొక్క పూర్తి స్థాయి ఇంకా తెలియదు.

APT41 యొక్క క్లౌడ్ దుర్వినియోగ చరిత్ర

ఈ సంఘటన APT41 గూగుల్ సేవలను దురుద్దేశపూరిత ప్రయోజనాల కోసం తారుమారు చేయడం మొదటిసారి కాదు. ఏప్రిల్ 2023లో, APT41 తైవాన్ మీడియా సంస్థను లక్ష్యంగా చేసుకుంది, గూగుల్ డ్రైవ్‌లోని పాస్‌వర్డ్-రక్షిత ఫైల్‌ల ద్వారా గూగుల్ కమాండ్ అండ్ కంట్రోల్ (GC2) సాధనాన్ని అందించింది. అమలు చేసిన తర్వాత, GC2 దాడి చేసేవారిని గూగుల్ షీట్‌ల నుండి ఆదేశాలను చదవడానికి మరియు గూగుల్ డ్రైవ్‌ని ఉపయోగించి డేటాను తొలగించడానికి అనుమతించింది.