TOUGHPROGRESS 恶意软件

研究人员发现，受中国政府支持的威胁行为者 APT41 正在利用一种名为 TOUGHPROGRESS 的新发现恶意软件。这款复杂的恶意软件利用 Google 日历作为命令与控制 (C2) 通道，使APT41能够将不安全活动与合法流量混合。

发现一场秘密行动

该活动于2024年10月下旬首次被发现，当时TOUGHPROGRESS托管在一个被入侵的政府网站上。该恶意软件专门针对其他政府机构部署，利用云服务掩盖其运作并逃避检测。

APT41：熟悉的敌人

APT41，又名 Axiom、Blackfly、Brass Typhoon（原名 Barium）、Bronze Atlas、Earth Baku、HOODOO、RedGolf、Red Kelpie、TA415、Wicked Panda 和 Winnti，是一个臭名昭著的国家组织，因其对全球航运、物流、媒体、科技和汽车行业的攻击而闻名。

2024年7月，APT41利用ANTSWORD、BLUEBEAM、DUSTPAN和DUSTTRAP等多种Web Shell和植入程序，攻击了意大利、西班牙、台湾、泰国、土耳其和英国的多个组织。此前，在2024年3月，APT41内部的一个分支组织针对日本制造业、材料业和能源业公司发起了名为“RevivalStone”的攻击活动。

欺骗性攻击链

最新记录的攻击链始于鱼叉式网络钓鱼电子邮件，该邮件会发送指向受感染政府网站上托管的 ZIP 压缩包的链接。ZIP 压缩包内包含一个目录和一个伪装成 PDF 文档的 Windows 快捷方式 (LNK)。该目录似乎包含七张节肢动物图片（“1.jpg”至“7.jpg”）。

当受害者点击 LNK 文件时，感染就开始了，它会触发一个诱饵 PDF 文件，声称列出的物种必须申报出口。然而，“6.jpg”和“7.jpg”是假图片。实际上，第一个文件是一个加密的有效载荷，由第二个文件解密，后者是一个在 LNK 激活时执行的 DLL 文件。该恶意软件使用诸如仅内存有效载荷、加密、压缩和控制流混淆等隐身策略来逃避检测。

恶意软件部署的三个阶段

该恶意软件由三个不同的组件组成，每个组件都发挥着至关重要的作用：

• PLUSDROP：解密并在内存中执行下一阶段的 DLL。

利用谷歌日历进行命令和控制

TOUGHPROGRESS 与攻击者控制的 Google 日历交互，以读取和写入事件，并将收集到的数据存储在事件描述中，并将零分钟事件设置为硬编码日期（2023-05-30）。恶意软件会轮询 2023 年 7 月 30 日和 31 日日历事件中设置的加密命令，解密后在受感染的主机上执行。结果会被写回日历，供攻击者检索。

谷歌采取行动

谷歌已介入，移除了欺诈性的谷歌日历，并终止了相关的 Workspace 项目，有效地摧毁了这一恶意基础设施。受影响的组织已收到警报，但该攻击活动的具体范围尚不清楚。

APT41 的云滥用历史

此次事件并非 APT41 首次操纵 Google 服务进行恶意攻击。2023 年 4 月，APT41 曾针对一家台湾媒体机构发动攻击，通过 Google Drive 上受密码保护的文件向其投放 Google 命令与控制 (GC2) 工具。部署后，GC2 允许攻击者读取 Google 表格中的命令，并使用 Google Drive 窃取数据。