Google je u srijedu otkrio da je kineski državni hakeri poznat kao APT41 koristio maliciozni softver pod nazivom TOUGHPROGRESS koji koristi Google kalendar za komandovanje i kontrolu (C2).
Tehnološki gigant, koji je otkrio aktivnost krajem oktobra 2024. godine, rekao je da se maliciozni softver nalazio na kompromitovanoj vladinoj web stranici i da je korišten za ciljanje više drugih vladinih subjekata.
„Zloupotreba usluga u cloud-u za C2 je tehnika koju mnogi hakeri koriste kako bi se uklopili u legitimne aktivnosti“, rekao je istraživač Google Threat Intelligence Group (GTIG) Patrick Whitsell .
APT41, takođe praćen kao Axiom, Blackfly, Brass Typhoon (ranije Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda i Winnti, je naziv dodijeljen plodnoj nacionalnoj državnoj grupi poznatoj po svojim napadima na vlade i organizacije unutar globalnog sektora brodarstva i logistike, medija i zabave, tehnologije i automobilske industrije.
U julu 2024. godine, Google je otkrio da je nekoliko subjekata koji posluju unutar ovih industrijskih vertikala u Italiji, Španiji, Tajvanu, Tajlandu, Turskoj i Velikoj Britaniji bilo meta “kontinuirane kampanje” korištenjem kombinacije web shell-ova i dropper-a poput ANTSWORD, BLUEBEAM, DUSTPAN i DUSTTRAP.
Ranije ove godine, podgrupa unutar APT41 grupe idenfikovao je kao napadač japanskih kompanija u sektorima proizvodnje, materijala i energetike u martu 2024. godine, kao dio kampanje pod nazivom RevivalStone.
Najnoviji lanac napada koji je dokumentovao Google uključuje slanje spear-phishing e-poruka koje sadrže link do ZIP arhive koja se nalazi na malicioznu vladinoj web stranici. ZIP datoteka uključuje direktorij i Windows prečicu (LNK) koja se maskira kao PDF dokument. Direktorij sadrži ono što izgleda kao sedam različitih slika člankonožaca (od “1.jpg” do “7.jpg”).
Infekcija počinje pokretanjem LNK datoteke, što uzrokuje da se primaocu prikaže PDF mamac u kojem se navodi da vrste preuzete iz direktorija treba deklarirati za izvoz. Međutim, vrijedi napomenuti da su “6.jpg” i “7.jpg” lažne slike.
„Prva datoteka je zapravo šifrirani teret, a dešifrira se drugom datotekom, koja je DLL datoteka koja se pokreće kada meta klikne na LNK“, rekao je Whitsell, dodajući da malicizoni softver implementira različite tehnike prikrivanja i izbjegavanja, kao što su memorijski tereti, šifriranje, kompresija i obfuskacija toka kontrole.
Maliciozni softver se sastoji od tri različite komponente, od kojih je svaka raspoređena u seriji i dizajnirana je za obavljanje određene funkcije –
- PLUSDROP, DLL koji se koristi za dešifriranje i izvršavanje sljedeće faze u memoriji
- PLUSINJECT, koji pokreće i izvršava procesno “hollowing” na legitimnom procesu “svchost.exe” kako bi ubrizgao konačni korisni sadržaj
- TOUGHPROGRESS, primarni zlonamjerni softver koji koristi Google kalendar za C2
Maliciozni softver je dizajniran za čitanje i pisanje događaja pomoću Google kalendara kojim upravlja napadač, kreirajući događaj s nultom minutom na fiksno kodirani datum (2023-05-30) kako bi prikupljene podatke pohranio u opis događaja.
Operateri postavljaju šifrirane naredbe u događaje u Kalendaru 30. i 31. jula 2023. godine, koje zatim zlonamjerni softver ispituje, dešifrira, izvršava na kompromitovanom Windows hostu, a rezultati se zapisuju nazad u drugi događaj u Kalendaru odakle ih napadači mogu izdvojiti.
Google je saopštio da je preduzeo korake uklanjanja zlonamjernog Google kalendara i ukinuo povezane Workspace projekte, čime je neutralizirao cijelu kampanju. Takođe je naveo da su pogođene organizacije obaviještene. Tačan obim kampanje nije jasan.
Ovo nije prvi put da APT41 koristi Googleove usluge kao oružje u svoju korist. U aprilu 2023. godine, Google je otkrio da je napadač ciljao neimenovanu tajvansku medijsku organizaciju kako bi isporučio alat za crveno timsko djelovanje otvorenog koda zasnovan na Gou, poznat kao Google Command and Control (GC2), koji se isporučuje putem datoteka zaštićenih lozinkom smještenih na Google Driveu.
Nakon instalacije, GC2 djeluje kao backdoor za čitanje naredbi iz Google tablica i izvlačenje podataka pomoću usluge pohrane u oblaku.
Izvor:The Hacker News
