Multi-License Discount Quote
Banta sa Database Malware TOUGHPROGRESS Malware

TOUGHPROGRESS Malware

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)
Isalin To:

Natuklasan ng mga mananaliksik na ang Chinese state-sponsored threat actor, APT41, ay gumagamit ng bagong natukoy na malware na tinatawag na TOUGHPROGRESS. Ginagamit ng sopistikadong malware na ito ang Google Calendar bilang Command-and-Control (C2) channel, na nagpapahintulot sa APT41 na pagsamahin ang hindi ligtas na aktibidad sa lehitimong trapiko.

Ang Pagtuklas ng Palihim na Kampanya

Unang natukoy ang aktibidad noong huling bahagi ng Oktubre 2024, kung saan naka-host ang TOUGHPROGRESS sa isang nakompromisong website ng pamahalaan. Ito ay partikular na na-deploy upang i-target ang iba pang mga entity ng gobyerno, sinasamantala ang mga serbisyo ng cloud upang itago ang mga operasyon nito at maiwasan ang pagtuklas.

APT41: Isang Pamilyar na Kaaway

Ang APT41, na sinusubaybayan din bilang Axiom, Blackfly, Brass Typhoon (dating Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda, at Winnti, ay isang kilalang grupo ng nation-state na kilala sa mga pag-atake nito sa pandaigdigang pagpapadala, logistik, media, teknolohiya at sektor ng sasakyan.

Noong Hulyo 2024, na-target ng APT41 ang maraming organisasyon sa Italy, Spain, Taiwan, Thailand, Turkey, at UK gamit ang kumbinasyon ng mga Web shell at dropper tulad ng ANTSWORD, BLUEBEAM, DUSTPAN at DUSTTRAP. Nauna rito, noong Marso 2024, isang subgroup sa loob ng APT41 ang nag-target ng mga kumpanyang Japanese sa mga sektor ng pagmamanupaktura, materyales, at enerhiya bilang bahagi ng isang campaign na kilala bilang RevivalStone.

Isang Mapanlinlang na Attack Chain

Ang pinakabagong nakadokumentong chain ng pag-atake ay nagsisimula sa spear-phishing na mga email na naghahatid ng link sa isang ZIP archive na naka-host sa nakompromisong site ng pamahalaan. Sa loob ng ZIP file ay isang direktoryo at isang Windows shortcut (LNK) na nakatago bilang isang PDF na dokumento. Lumilitaw na naglalaman ang direktoryo ng pitong larawan ng mga arthropod ('1.jpg' hanggang '7.jpg').

Magsisimula ang impeksyon kapag nag-click ang biktima sa LNK, na nag-trigger ng isang decoy na PDF na nagsasabing ang nakalistang species ay dapat ideklara para ma-export. Gayunpaman, ang '6.jpg' at '7.jpg' ay mga pekeng larawan. Sa totoo lang, ang unang file ay isang naka-encrypt na payload, na na-decrypt ng pangalawang file, isang DLL na gumagana kapag ang LNK ay na-activate. Gumagamit ang malware ng mga stealth na taktika tulad ng memory-only payloads, encryption, compression, at control flow obfuscation upang maiwasan ang pag-detect.

Ang Tatlong Yugto ng Malware Deployment

Ang malware ay binubuo ng tatlong natatanging bahagi, bawat isa ay gumaganap ng isang mahalagang papel:

  • PLUSDROP: Isang DLL na nagde-decrypt at nagpapatupad ng susunod na yugto sa memorya.
  • PLUSINJECT: Nagsasagawa ng proseso ng hollowing sa isang lehitimong proseso ng 'svchost.exe' upang mai-inject ang huling payload.
  • TOUGHPROGRESS: Ang pangunahing malware, na gumagamit ng Google Calendar para sa C2.

    • Pagsasamantala sa Google Calendar para sa Command at Control

    Nakikipag-ugnayan ang TOUGHPROGRESS sa isang Google Calendar na kontrolado ng attacker upang magbasa at magsulat ng mga kaganapan, na nag-iimbak ng mga na-harvest na data sa mga paglalarawan ng kaganapan na may zero-minutong mga kaganapan na nakatakda sa isang hard-coded na petsa (2023-05-30). Ang mga naka-encrypt na command na inilagay sa mga kaganapan sa Kalendaryo noong Hulyo 30 at 31, 2023, ay sinusuri ng malware, na-decrypt, na-execute sa nakompromisong host. Ang mga resulta ay isinulat pabalik sa Kalendaryo para makuha ng mga umaatake.

    Gumagawa ang Google ng Aksyon

    Nakialam ang Google sa pamamagitan ng pag-alis sa mapanlinlang na Google Calendar at pagwawakas sa mga nauugnay na proyekto sa Workspace, na epektibong nag-dismantle sa nakakahamak na imprastraktura na ito. Ang mga apektadong organisasyon ay inalertuhan, ngunit ang buong lawak ng kampanya ay nananatiling hindi alam.

    Kasaysayan ng Pang-aabuso sa Ulap ng APT41

    Ang insidenteng ito ay hindi ang unang pagkakataon na manipulahin ng APT41 ang mga serbisyo ng Google para sa malisyosong layunin. Noong Abril 2023, na-target ng APT41 ang isang Taiwanese media organization, na naghahatid ng Google Command and Control (GC2) tool sa pamamagitan ng mga file na protektado ng password sa Google Drive. Kapag na-deploy na, pinayagan ng GC2 ang mga attacker na magbasa ng mga command mula sa Google Sheets at mag-exfiltrate ng data gamit ang Google Drive.

    Trending

    Pinaka Nanood

    Naglo-load...