Phần mềm độc hại TOUGHPROGRESS
Các nhà nghiên cứu đã phát hiện ra rằng tác nhân đe dọa do nhà nước Trung Quốc tài trợ, APT41, đang tận dụng một phần mềm độc hại mới được xác định có tên là TOUGHPROGRESS. Phần mềm độc hại tinh vi này sử dụng Google Calendar làm kênh Chỉ huy và Kiểm soát (C2), cho phép APT41 pha trộn hoạt động không an toàn với lưu lượng truy cập hợp pháp.
Mục lục
Phát hiện một chiến dịch bí mật
Hoạt động này lần đầu tiên được phát hiện vào cuối tháng 10 năm 2024, với TOUGHPROGRESS được lưu trữ trên một trang web chính phủ bị xâm phạm. Nó được triển khai cụ thể để nhắm mục tiêu vào các thực thể chính phủ khác, lợi dụng các dịch vụ đám mây để che giấu hoạt động của mình và tránh bị phát hiện.
APT41: Kẻ thù quen thuộc
APT41, còn được gọi là Axiom, Blackfly, Brass Typhoon (trước đây là Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda và Winnti, là một nhóm quốc gia khét tiếng được biết đến với các cuộc tấn công vào các lĩnh vực vận chuyển, hậu cần, truyền thông, công nghệ và ô tô toàn cầu.
Vào tháng 7 năm 2024, APT41 đã nhắm mục tiêu vào nhiều tổ chức ở Ý, Tây Ban Nha, Đài Loan, Thái Lan, Thổ Nhĩ Kỳ và Vương quốc Anh bằng cách kết hợp các Web shell và dropper như ANTSWORD, BLUEBEAM, DUSTPAN và DUSTTRAP. Trước đó, vào tháng 3 năm 2024, một nhóm nhỏ trong APT41 đã nhắm mục tiêu vào các công ty Nhật Bản trong lĩnh vực sản xuất, vật liệu và năng lượng như một phần của chiến dịch được gọi là RevivalStone.
Một chuỗi tấn công lừa đảo
Chuỗi tấn công được ghi nhận mới nhất bắt đầu bằng các email lừa đảo gửi liên kết đến kho lưu trữ ZIP được lưu trữ trên trang web chính phủ bị xâm phạm. Bên trong tệp ZIP là một thư mục và một phím tắt Windows (LNK) được ngụy trang dưới dạng tài liệu PDF. Thư mục này dường như chứa bảy hình ảnh về động vật chân đốt ('1.jpg' đến '7.jpg').
Nhiễm trùng bắt đầu khi nạn nhân nhấp vào LNK, kích hoạt một PDF giả mạo tuyên bố rằng các loài được liệt kê phải được khai báo để xuất. Tuy nhiên, '6.jpg' và '7.jpg' là hình ảnh giả. Trên thực tế, tệp đầu tiên là một tải trọng được mã hóa, được giải mã bởi tệp thứ hai, một DLL thực thi khi LNK được kích hoạt. Phần mềm độc hại sử dụng các chiến thuật ẩn như tải trọng chỉ trong bộ nhớ, mã hóa, nén và che giấu luồng điều khiển để tránh bị phát hiện.
Ba giai đoạn triển khai phần mềm độc hại
Phần mềm độc hại này bao gồm ba thành phần riêng biệt, mỗi thành phần có vai trò quan trọng:
- PLUSDROP: Một DLL giải mã và thực thi giai đoạn tiếp theo trong bộ nhớ.
- PLUSINJECT: Thực hiện quá trình rỗng trên một tiến trình 'svchost.exe' hợp lệ để đưa tải trọng cuối cùng vào.
- TOUGHPROGRESS: Phần mềm độc hại chính sử dụng Google Calendar cho C2.
Khai thác Google Calendar để ra lệnh và kiểm soát
TOUGHPROGRESS tương tác với Google Calendar do kẻ tấn công kiểm soát để đọc và ghi các sự kiện, lưu trữ dữ liệu đã thu thập trong các mô tả sự kiện với các sự kiện zero-minute được đặt thành ngày được mã hóa cứng (2023-05-30). Các lệnh được mã hóa được đặt trong các sự kiện Calendar vào ngày 30 và 31 tháng 7 năm 2023, được phần mềm độc hại thăm dò, giải mã, thực thi trên máy chủ bị xâm phạm. Kết quả được ghi lại vào Calendar để kẻ tấn công lấy lại.
Google hành động
Google đã can thiệp bằng cách xóa Google Calendar gian lận và chấm dứt các dự án Workspace liên quan, về cơ bản là phá hủy cơ sở hạ tầng độc hại này. Các tổ chức bị ảnh hưởng đã được cảnh báo, nhưng vẫn chưa biết toàn bộ quy mô của chiến dịch.
Lịch sử lạm dụng đám mây của APT41
Sự cố này không phải là lần đầu tiên APT41 thao túng các dịch vụ của Google cho mục đích xấu. Vào tháng 4 năm 2023, APT41 đã nhắm mục tiêu vào một tổ chức truyền thông Đài Loan, triển khai công cụ Google Command and Control (GC2) thông qua các tệp được bảo vệ bằng mật khẩu trên Google Drive. Sau khi triển khai, GC2 cho phép kẻ tấn công đọc lệnh từ Google Sheets và đánh cắp dữ liệu bằng Google Drive.
