TOUGHPROGRESS Kötü Amaçlı Yazılım
Araştırmacılar, Çin devlet destekli tehdit aktörü APT41'in TOUGHPROGRESS adlı yeni tanımlanmış bir kötü amaçlı yazılımı kullandığını ortaya çıkardı. Bu karmaşık kötü amaçlı yazılım, Google Takvim'i bir Komuta ve Kontrol (C2) kanalı olarak kullanarak APT41'in güvenli olmayan aktiviteyi meşru trafikle harmanlamasına olanak sağlıyor.
İçindekiler
Gizli Bir Kampanyanın Keşfi
Etkinlik ilk olarak Ekim 2024'ün sonlarında, TOUGHPROGRESS'in tehlikeye atılmış bir hükümet web sitesinde barındırılmasıyla tespit edildi. Operasyonlarını maskelemek ve tespit edilmekten kaçınmak için bulut hizmetlerinden yararlanarak diğer hükümet kuruluşlarını hedef almak için özel olarak konuşlandırıldı.
APT41: Tanıdık Bir Düşman
Axiom, Blackfly, Brass Typhoon (eski adıyla Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda ve Winnti olarak da bilinen APT41, küresel nakliye, lojistik, medya, teknoloji ve otomotiv sektörlerine yönelik saldırılarıyla bilinen kötü şöhretli bir ulus-devlet grubudur.
Temmuz 2024'te APT41, ANTSWORD, BLUEBEAM, DUSTPAN ve DUSTTRAP gibi Web kabukları ve dropper'ların bir kombinasyonunu kullanarak İtalya, İspanya, Tayvan, Tayland, Türkiye ve Birleşik Krallık'taki birden fazla kuruluşu hedef aldı. Daha önce, Mart 2024'te APT41 içindeki bir alt grup, RevivalStone olarak bilinen bir kampanyanın parçası olarak üretim, malzeme ve enerji sektörlerindeki Japon şirketlerini hedef aldı.
Aldatıcı Bir Saldırı Zinciri
Son belgelenen saldırı zinciri, tehlikeye atılmış hükümet sitesinde barındırılan bir ZIP arşivine bağlantı gönderen mızraklı kimlik avı e-postalarıyla başlıyor. ZIP dosyasının içinde bir dizin ve PDF belgesi olarak gizlenmiş bir Windows kısayolu (LNK) bulunuyor. Dizin, yedi eklembacaklı resmi ('1.jpg' ila '7.jpg') içeriyor gibi görünüyor.
Enfeksiyon, kurban LNK'ye tıkladığında başlar ve listelenen türlerin dışa aktarılmak üzere beyan edilmesi gerektiğini iddia eden bir sahte PDF tetiklenir. Ancak, '6.jpg' ve '7.jpg' sahte resimlerdir. Gerçekte, ilk dosya şifrelenmiş bir yüktür ve LNK etkinleştirildiğinde çalışan bir DLL olan ikinci bir dosya tarafından şifresi çözülür. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için yalnızca bellek yükleri, şifreleme, sıkıştırma ve kontrol akışı karartma gibi gizli taktikler kullanır.
Kötü Amaçlı Yazılım Dağıtımının Üç Aşaması
Kötü amaçlı yazılım, her biri önemli bir rol oynayan üç ayrı bileşenden oluşuyor:
- PLUSDROP: Bellekteki bir sonraki aşamayı şifreleyip yürüten bir DLL.
- PLUSINJECT: Son yükü enjekte etmek için meşru bir 'svchost.exe' işlemi üzerinde işlem boşaltma gerçekleştirir.
- TOUGHPROGRESS: Google Takvim for C2'yi kullanan ana kötü amaçlı yazılım.
Komuta ve Kontrol için Google Takvim’i Kullanma
TOUGHPROGRESS, saldırgan tarafından kontrol edilen bir Google Takvimi ile etkileşime girerek etkinlikleri okur ve yazar, toplanan verileri sıfır dakika etkinlikleri sabit kodlanmış bir tarihe (2023-05-30) ayarlanmış etkinlik açıklamalarında depolar. 30 ve 31 Temmuz 2023'te Takvim etkinliklerine yerleştirilen şifrelenmiş komutlar kötü amaçlı yazılım tarafından sorgulanır, şifresi çözülür ve tehlikeye atılan ana bilgisayarda yürütülür. Sonuçlar saldırganların alabilmesi için Takvime geri yazılır.
Google Harekete Geçiyor
Google, sahte Google Takvim'i kaldırarak ve ilişkili Workspace projelerini sonlandırarak müdahale etti ve bu kötü amaçlı altyapıyı etkili bir şekilde ortadan kaldırdı. Etkilenen kuruluşlar uyarıldı, ancak kampanyanın tam kapsamı bilinmiyor.
APT41’in Bulut İstismarı Geçmişi
Bu olay, APT41'in kötü amaçlı amaçlar için Google'ın hizmetlerini manipüle ettiği ilk olay değil. Nisan 2023'te APT41, Google Drive'daki parola korumalı dosyalar aracılığıyla Google Komut ve Kontrol (GC2) aracını sunarak Tayvanlı bir medya kuruluşunu hedef aldı. GC2, dağıtıldıktan sonra saldırganların Google E-Tablolar'dan komutları okumasına ve Google Drive'ı kullanarak verileri sızdırmasına izin verdi.
