Mercoledì Google ha rivelato che l’attore di minaccia sponsorizzato dallo stato cinese noto come APT41 ha sfruttato un malware chiamato ToughProgress che utilizza Google Calendar per il comando e il controllo (C2).
Il gigante della tecnologia, che ha scoperto l’attività alla effective di ottobre 2024, ha affermato che il malware è stato ospitato su un sito Internet del governo compromesso ed è stato utilizzato per colpire molteplici altre entità governative.
“L’uso improprio dei servizi cloud per C2 è una tecnica che molti attori di minaccia sfruttano per fondersi con attività legittima”, il ricercatore di Google Menace Intelligence Group (GTIG) Patrick Whitsell disse.
APT41, anche monitorato come Axiom, Blackfly, Brass Storm (precedentemente bario), atlas di bronzo, terra Baku, Hoodoo, Pink Kelpie, TA415, Panda malvagia e depraved e winnti, eaturi, è il nome assegnato a un gruppo prolifico noto per i suoi bersagli dei governi e le organizzazioni all’interno della spedizione globale e della logistica, dei media e di intrattenimento, i media sono stati assegnati a un nome prolifico.
Nel luglio 2024, Google rivelato Che various entità che operano all’interno di questi verticali del settore in Italia, Spagna, Taiwan, Tailandia, Turchia e Regno Unito sono state prese di mira da una “campagna prolungata” utilizzando una combinazione di conchiglie e gocce come Antsword, Bluebeam, Dustpan e Dusttrap.
Quindi all’inizio di quest’anno, un sotto-cluster all’interno dell’ombrello APT41 period identificato Come attaccanti delle aziende giapponesi nella produzione, nei materiali e nei settori energetici nel marzo 2024 nell’ambito di una campagna soprannominata Revivalstone.
L’ultima catena di attacco documentata da Google prevede l’invio di e-mail di phishing di lancia contenente un hyperlink a un archivio ZIP ospitato sul sito Internet del governo sfruttato. Il file zip embody una listing e un collegamento di Home windows (LNK) che si maschera come documento PDF. La listing presenta quelle che sembrano essere sette various immagini di artropodi (da “1.jpg” a “7.jpg”).
L’infezione inizia quando viene lanciato il file LNK, causando la presentazione di un PDF di esca al destinatario affermando che la specie estratta dalla listing deve essere dichiarata per l’esportazione. Tuttavia, vale la pena notare che “6.jpg” e “7.jpg” sono immagini false.
“Il primo file è in realtà un payload crittografato ed è decrittografato dal secondo file, che è un file DLL lanciato quando il goal fa clic sull’LNK”, ha detto Whitsell, aggiungendo il malware implementa varie tecniche di furtività ed evasione, come carichi di pay, crittografia, compressione e obiezione di controllo.
Il malware è costituito da tre componenti distinti, ognuno dei quali è distribuito in serie e sono progettati per svolgere una funzione specifica –
- Plustrop, la DLL utilizzata per decrittografare ed eseguire la fase successiva in memoria
- PlusInject, che lancia ed esegue Elaborazione di elaborazione Su un legittimo processo “svchost.exe” per iniettare il payload finale
- ToughProgress, il malware primario che utilizza Google Calendar per C2
Il malware è progettato per leggere e scrivere eventi con un calendario Google controllato dagli attaccanti, creando un evento zero-minuto a una information con codice duro (2023-05-30) per archiviare i dati raccolti nella descrizione dell’evento.
Gli operatori mettono i comandi crittografati negli eventi di calendario il 30 e 31 luglio 2023, che vengono quindi interrogati dal malware, decrittografato, eseguiti sull’host di Home windows compromesso e i risultati scritti a un altro evento di calendario da dove possono essere estratti dagli attaccanti.
Google ha affermato che ha fatto il passo per abbattere il calendario malizioso di Google e ha terminato i progetti dell’space di lavoro associati, neutralizzando così l’intera campagna. Ha anche affermato che le organizzazioni colpite sono state notificate. La scala esatta della campagna non è chiara.
Questa non è la prima volta che APT41 ha i servizi di Google armatizzati a suo vantaggio. Nell’aprile 2023, Google divulgato Che l’attore delle minacce abbia preso di mira un’organizzazione mediatica di Taiwan per fornire uno strumento di squadra rosso open supply, noto come Google Command and Management (GC2) consegnato tramite file protetti da password ospitato su Google Drive.
Una volta installato, GC2 funge da backdoor per leggere i comandi da fogli di Google e dati exfiltrate utilizzando il servizio di archiviazione cloud.
