มัลแวร์ TOUGHPROGRESS

นักวิจัยได้ค้นพบว่า APT41 ซึ่งเป็นผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีน กำลังใช้ประโยชน์จากมัลแวร์ที่เพิ่งค้นพบใหม่ที่เรียกว่า TOUGHPROGRESS มัลแวร์ที่ซับซ้อนนี้ใช้ Google Calendar เป็นช่องทางการสั่งการและควบคุม (C2) ทำให้ APT41 สามารถผสมผสานกิจกรรมที่ไม่ปลอดภัยเข้ากับการรับส่งข้อมูลที่ถูกต้องได้

การค้นพบของแคมเปญที่แอบแฝง

กิจกรรมดังกล่าวถูกตรวจพบครั้งแรกในช่วงปลายเดือนตุลาคม 2024 โดย TOUGHPROGRESS โฮสต์บนเว็บไซต์ของรัฐบาลที่ถูกบุกรุก กิจกรรมนี้ถูกนำไปใช้งานโดยเฉพาะเพื่อกำหนดเป้าหมายหน่วยงานของรัฐอื่นๆ โดยใช้ประโยชน์จากบริการคลาวด์เพื่อปกปิดการทำงานและหลบเลี่ยงการตรวจจับ

APT41: ศัตรูที่คุ้นเคย

APT41 หรือที่ติดตามคือ Axiom, Blackfly, Brass Typhoon (เดิมชื่อ Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda และ Winnti เป็นกลุ่มชาติรัฐที่มีชื่อเสียงฉาวโฉ่ซึ่งรู้จักกันดีจากการโจมตีภาคการขนส่งทางเรือ โลจิสติกส์ สื่อมวลชน เทคโนโลยี และยานยนต์ทั่วโลก

ในเดือนกรกฎาคม 2024 APT41 ได้กำหนดเป้าหมายองค์กรหลายแห่งในอิตาลี สเปน ไต้หวัน ไทย ตุรกี และสหราชอาณาจักร โดยใช้ Web shell และ dropper ร่วมกัน เช่น ANTSWORD, BLUEBEAM, DUSTPAN และ DUSTTRAP ก่อนหน้านี้ในเดือนมีนาคม 2024 กลุ่มย่อยภายใน APT41 ได้กำหนดเป้าหมายบริษัทญี่ปุ่นในภาคการผลิต วัสดุ และพลังงาน ซึ่งเป็นส่วนหนึ่งของแคมเปญที่เรียกว่า RevivalStone

ห่วงโซ่การโจมตีที่หลอกลวง

การโจมตีล่าสุดที่บันทึกไว้เริ่มต้นด้วยอีเมลฟิชชิ่งที่ส่งลิงก์ไปยังไฟล์ ZIP ที่โฮสต์บนเว็บไซต์ของรัฐบาลที่ถูกบุกรุก ภายในไฟล์ ZIP มีไดเร็กทอรีและทางลัดของ Windows (LNK) ที่ปลอมตัวเป็นเอกสาร PDF ไดเร็กทอรีดังกล่าวดูเหมือนจะมีรูปภาพสัตว์ขาปล้องเจ็ดรูป ('1.jpg' ถึง '7.jpg')

การติดเชื้อเริ่มต้นเมื่อเหยื่อคลิกที่ LNK ทำให้เกิดไฟล์ PDF ปลอมที่อ้างว่าต้องประกาศสายพันธุ์ที่ระบุไว้เพื่อส่งออก อย่างไรก็ตาม '6.jpg' และ '7.jpg' เป็นรูปภาพปลอม ในความเป็นจริง ไฟล์แรกเป็นเพย์โหลดที่เข้ารหัส ซึ่งถอดรหัสโดยไฟล์ที่สอง ซึ่งเป็น DLL ที่ทำงานเมื่อเปิดใช้งาน LNK มัลแวร์ใช้กลวิธีแอบแฝง เช่น เพย์โหลดที่ใช้หน่วยความจำเท่านั้น การเข้ารหัส การบีบอัด และการบดบังการควบคุมการไหลเพื่อหลีกเลี่ยงการตรวจจับ

สามขั้นตอนในการปรับใช้ซอฟต์แวร์ที่เป็นอันตราย

มัลแวร์ประกอบด้วยส่วนประกอบที่แตกต่างกันสามส่วน โดยแต่ละส่วนมีบทบาทสำคัญ:

• PLUSDROP: DLL ที่ใช้ถอดรหัสและดำเนินการขั้นตอนถัดไปในหน่วยความจำ

การใช้ประโยชน์จาก Google Calendar สำหรับการสั่งการและควบคุม

TOUGHPROGRESS โต้ตอบกับ Google Calendar ที่ควบคุมโดยผู้โจมตีเพื่ออ่านและเขียนเหตุการณ์ จัดเก็บข้อมูลที่รวบรวมไว้ในคำอธิบายเหตุการณ์ โดยเหตุการณ์ทุกนาทีจะถูกตั้งเป็นวันที่แบบฮาร์ดโค้ด (30-05-2023) คำสั่งที่เข้ารหัสซึ่งวางไว้ในเหตุการณ์ในปฏิทินในวันที่ 30 และ 31 กรกฎาคม 2023 จะถูกสำรวจโดยมัลแวร์ ถอดรหัส และดำเนินการบนโฮสต์ที่ถูกบุกรุก ผลลัพธ์จะถูกเขียนกลับไปยังปฏิทินเพื่อให้ผู้โจมตีดึงข้อมูลได้

Google ดำเนินการ

Google ได้เข้ามาแทรกแซงโดยลบ Google Calendar ปลอมและยุติโครงการ Workspace ที่เกี่ยวข้อง ซึ่งเท่ากับเป็นการทำลายโครงสร้างพื้นฐานที่เป็นอันตรายนี้ลง องค์กรที่ได้รับผลกระทบได้รับการแจ้งเตือนแล้ว แต่ยังไม่ทราบขอบเขตทั้งหมดของแคมเปญนี้

ประวัติการละเมิดระบบคลาวด์ของ APT41

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ APT41 เข้าไปยุ่งเกี่ยวกับบริการของ Google เพื่อจุดประสงค์ที่เป็นอันตราย ในเดือนเมษายน 2023 APT41 ได้โจมตีองค์กรสื่อของไต้หวัน โดยส่งเครื่องมือ Google Command and Control (GC2) ผ่านไฟล์ที่ป้องกันด้วยรหัสผ่านบน Google Drive เมื่อใช้งานแล้ว GC2 จะอนุญาตให้ผู้โจมตีอ่านคำสั่งจาก Google Sheets และขโมยข้อมูลโดยใช้ Google Drive