Шкідливе програмне забезпечення TOUGHPROGRESS
Дослідники виявили, що китайський державний хакер APT41 використовує нещодавно виявлене шкідливе програмне забезпечення під назвою TOUGHPROGRESS. Це складне шкідливе програмне забезпечення використовує Календар Google як канал командування та управління (C2), що дозволяє APT41 поєднувати небезпечну активність із легітимним трафіком.
Зміст
Викриття прихованої кампанії
Активність вперше було виявлено наприкінці жовтня 2024 року, коли TOUGHPROGRESS розміщувався на скомпрометованому урядовому вебсайті. Його було спеціально розгорнуто для атаки на інші урядові установи, використовуючи хмарні сервіси для маскування своїх операцій та уникнення виявлення.
APT41: Знайомий ворог
APT41, яку також відстежують як Axiom, Blackfly, Brass Typhoon (раніше Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda та Winnti, — це сумнозвісна національно-державна група, відома своїми атаками на світові судноплавство, логістику, медіа, технології та автомобільну галузь.
У липні 2024 року APT41 атакувала кілька організацій в Італії, Іспанії, Тайвані, Таїланді, Туреччині та Великій Британії, використовуючи комбінацію веб-оболочек та дропперів, таких як ANTSWORD, BLUEBEAM, DUSTPAN та DUSTTRAP. Раніше, у березні 2024 року, підгрупа APT41 атакувала японські компанії у виробничому, матеріальному та енергетичному секторах у рамках кампанії під назвою RevivalStone.
Ланцюг оманливих атак
Останній задокументований ланцюжок атак починається з фішингових електронних листів, що містять посилання на ZIP-архів, розміщений на скомпрометованому урядовому сайті. Усередині ZIP-файлу знаходиться каталог і ярлик Windows (LNK), замасковані під PDF-документ. Каталог, схоже, містить сім зображень членистоногих (від «1.jpg» до «7.jpg»).
Зараження починається, коли жертва натискає на LNK, запускаючи PDF-файл-приманку, який стверджує, що перелічені види мають бути заявлені для експорту. Однак, «6.jpg» та «7.jpg» – це підроблені зображення. Насправді, перший файл – це зашифроване корисне навантаження, розшифроване другим файлом – DLL, яка виконується під час активації LNK. Шкідливе програмне забезпечення використовує тактику приховування, таку як корисне навантаження лише для пам’яті, шифрування, стиснення та обфускацію потоку керування, щоб уникнути виявлення.
Три етапи розгортання шкідливого програмного забезпечення
Шкідливе програмне забезпечення складається з трьох окремих компонентів, кожен з яких виконує вирішальну роль:
- PLUSDROP: DLL-бібліотека, яка розшифровує та виконує наступний етап у пам'яті.
Використання Календаря Google для командування та контролю
TOUGHPROGRESS взаємодіє з Календарем Google, керованим зловмисником, для читання та запису подій, зберігаючи зібрані дані в описах подій з подіями нульової хвилини, встановленими на жорстко закодовану дату (2023-05-30). Зашифровані команди, розміщені в подіях Календаря 30 та 31 липня 2023 року, опитуються шкідливим програмним забезпеченням, розшифровуються та виконуються на скомпрометованому хості. Результати записуються назад у Календар для отримання зловмисниками.
Google вживає заходів
Google втрутився, видаливши шахрайський Календар Google та припинивши роботу пов’язаних із ним проектів Workspace, фактично ліквідувавши цю шкідливу інфраструктуру. Постраждалі організації були попереджені, але повний масштаб кампанії залишається невідомим.
Історія зловживань хмарними сервісами APT41
Цей інцидент не перший випадок, коли APT41 маніпулює сервісами Google зі зловмисними цілями. У квітні 2023 року APT41 атакувала тайванську медіаорганізацію, розповсюджуючи інструмент Google Command and Control (GC2) через захищені паролем файли на Google Диску. Після розгортання GC2 дозволяв зловмисникам зчитувати команди з Google Таблиць та витягувати дані за допомогою Google Диска.
