TOUGHPROGRESS 惡意軟體

研究人員發現，中國國家支持的威脅行為者 APT41 正在利用一種名為 TOUGHPROGRESS 的新發現的惡意軟體。這種複雜的惡意軟體使用 Google 日曆作為命令和控制 (C2) 通道，讓APT41將不安全活動與合法流量混合。

發現一場秘密行動

該活動於 2024 年 10 月下旬首次被發現，當時 TOUGHPROGRESS 託管在一個受到入侵的政府網站上。它是專門針對其他政府實體而部署的，利用雲端服務來掩蓋其行動並逃避偵查。

APT41：熟悉的敵人

APT41，又名 Axiom、Blackfly、Brass Typhoon（原名 Barium）、Bronze Atlas、Earth Baku、HOODOO、RedGolf、Red Kelpie、TA415、Wicked Panda 和 Winnti，是一個臭名昭著的國家組織，因其對全球航運、物流、媒體、科技和汽車行業的攻擊而聞名。

2024 年 7 月，APT41 針對義大利、西班牙、台灣、泰國、土耳其和英國的多個組織發動了攻擊，使用了 ANTSWORD、BLUEBEAM、DUSTPAN 和 DUSTTRAP 等 Web shell 和植入程式。在此之前，2024 年 3 月，APT41 內部的一個小組針對日本製造業、材料業和能源業公司發起了代號為 RevivalStone 的活動。

欺騙性攻擊鏈

最新記錄的攻擊鏈始於魚叉式網路釣魚電子郵件，該電子郵件提供了指向受感染政府網站上託管的 ZIP 存檔的連結。 ZIP 檔案內部有一個目錄和一個偽裝成 PDF 文件的 Windows 捷徑 (LNK)。目錄似乎包含七張節肢動物圖像（“1.jpg”至“7.jpg”）。

當受害者點擊 LNK 時，感染就開始了，觸發一個誘餌 PDF，聲稱列出的物種必須申報出口。然而，「6.jpg」和「7.jpg」是假圖片。實際上，第一個檔案是一個加密的有效載荷，由第二個檔案解密，該檔案是在 LNK 被啟動時執行的 DLL。該惡意軟體使用記憶體有效載荷、加密、壓縮和控制流混淆等隱身策略來避免被發現。

惡意軟體部署的三個階段

該惡意軟體由三個不同的元件組成，每個元件都發揮著至關重要的作用：

• PLUSDROP：解密並在記憶體中執行下一階段的 DLL。

利用Google日曆進行命令與控制

TOUGHPROGRESS 與攻擊者控制的 Google 日曆互動以讀取和寫入事件，將收集的資料儲存在事件描述中，並將零分鐘事件設定為硬編碼日期（2023-05-30）。 2023 年 7 月 30 日和 31 日日曆事件中放置的加密命令由惡意軟體輪詢、解密並在受感染的主機上執行。結果寫回日曆中，以供攻擊者檢索。

谷歌採取行動

谷歌已採取乾預措施，刪除了欺詐性的谷歌日曆並終止了相關的工作區項目，有效地拆除了這個惡意基礎設施。受影響的組織已收到警報，但活動的全部範圍仍不清楚。

APT41 的雲濫用史

這次事件並不是 APT41 第一次操縱Google服務進行惡意目的。 2023 年 4 月，APT41 針對一家台灣媒體組織，透過 Google Drive 上受密碼保護的文件提供 Google 指令與控制 (GC2) 工具。一旦部署，GC2 允許攻擊者讀取 Google Sheets 中的命令並使用 Google Drive 竊取資料。