Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT41 использует Google Calendar для управления вредоносом TOUGHPROGRESS

3
3 мин
В конце октября 2024 года команда Google Threat Intelligence Group (GTIG) выявила новую масштабную кампанию китайской хакерской группы APT41 (известной также как HOODOO), в рамках которой использовался взломанный правительственный сайт для распространения сложного вредоносного ПО под названием TOUGHPROGRESS. Уникальность атаки заключается в использовании легитимного облачного сервиса – Google Calendar – в качестве канала управления (C2), что значительно усложняет обнаружение и нейтрализацию угрозы. Для доставки вредоносного ПО злоумышленники применяли фишинговые email-рассылки со ссылками на ZIP-архив, размещённый на скомпрометированном государственном сайте. Внутри архива содержался файл с расширением .LNK, маскирующийся под PDF-документ, а также каталог с изображениями. TOUGHPROGRESS состоит из трёх взаимосвязанных модулей, каждый из которых отвечает за определённые этапы атаки и использует сложные методы уклонения от обнаружения: Особое внимание привлекает способ запуска: встроенный
Оглавление
Источник: cloud.google.com
Источник: cloud.google.com

В конце октября 2024 года команда Google Threat Intelligence Group (GTIG) выявила новую масштабную кампанию китайской хакерской группы APT41 (известной также как HOODOO), в рамках которой использовался взломанный правительственный сайт для распространения сложного вредоносного ПО под названием TOUGHPROGRESS. Уникальность атаки заключается в использовании легитимного облачного сервиса – Google Calendar – в качестве канала управления (C2), что значительно усложняет обнаружение и нейтрализацию угрозы.

Механизм заражения и методы распространения

Для доставки вредоносного ПО злоумышленники применяли фишинговые email-рассылки со ссылками на ZIP-архив, размещённый на скомпрометированном государственном сайте. Внутри архива содержался файл с расширением .LNK, маскирующийся под PDF-документ, а также каталог с изображениями.

  • После запуска файл .LNK самоуничтожался и открывал для пользователя поддельный PDF-файл.
  • Тем временем настоящая полезная нагрузка TOUGHPROGRESS начинала работу в фоновом режиме.

Структура и функции вредоносного ПО TOUGHPROGRESS

TOUGHPROGRESS состоит из трёх взаимосвязанных модулей, каждый из которых отвечает за определённые этапы атаки и использует сложные методы уклонения от обнаружения:

  • PLUSDROP – осуществляет расшифровку и выполнение последующих стадий загрузки.
  • PLUSINJECT – внедряется в легитимный процесс svchost.exe, обеспечивая скрытность присутствия вредоносного кода.
  • TOUGHPROGRESS – непосредственно выполняет вредоносные операции на заражённом устройстве.

Особое внимание привлекает способ запуска: встроенный Shellcode расшифровывается с помощью 16-байтового ключа XOR и распаковывает DLL-файл в памяти, используя алгоритм сжатия LZNT1.

Использование Google Calendar как канала управления и передачи данных

Ключевой особенностью TOUGHPROGRESS является механизм взаимодействия через Google Calendar:

  • Вредоносная программа создаёт события календаря с зашифрованными командами, которые затем извлекает для исполнения.
  • Результаты выполнения команд шифруются и отправляются обратно в календарь.
  • Для шифровки используется жестко встроенный 10-байтовый ключ исключения, а также отдельный 4-байтовый ключ для каждого сообщения.

Такой подход позволяет злоумышленникам скрывать свои действия среди легитимных операций сервиса Google, значительно снижая вероятность обнаружения.

Действия Google Threat Intelligence Group

В ответ на эту кампанию GTIG предприняла ряд проактивных мер по нейтрализации угрозы:

  • Созданы и внедрены сигнатуры для обнаружения вредоносного ПО TOUGHPROGRESS.
  • Демонтаж инфраструктуры, обеспечивающей атаку.
  • Обновление базы Google Safe Browsing с добавлением вредоносных доменов и URL.
  • В сотрудничестве с командой Mandiant FLARE проведён глубокий анализ и реинжиниринг протокола шифрования, используемого в кампании.
  • Пострадавшим организациям были переданы журналы сетевого трафика и сведения, способствующие обнаружению и реагированию на инциденты.

Контекст и предшествующий опыт APT41

Группа APT41 известна своими многообразными методами и инструментами, которые позволяют злоумышленникам эффективно сочетать вредоносные операции с использованием легитимных облачных сервисов и бесплатного веб-хостинга. Ранее они успешно эксплуатировали семейства вредоносных программ VOLDEMORT и DUSTTRAP.

Использование поддоменов Cloudflare Worker и средств сокращения URL-адресов позволяет APT41 сохранять анонимность и оперативно менять инфраструктуру атак, что представляет серьезную угрозу для различных секторов экономики по всему миру.

Выводы и рекомендации

Кампания с использованием TOUGHPROGRESS демонстрирует новые тенденции в эксплуатации легитимных облачных сервисов для командования и контроля вредоносным ПО, что существенно повышает сложность защиты. Организациям необходимо усилить:

  • Мониторинг сетевого трафика и журналов, уделяя особое внимание нестандартным взаимодействиям с облачными сервисами.
  • Программы проактивного обнаружения фишинговых кампаний и вредоносных вложений в электронной почте.
  • Обучение сотрудников основам информационной безопасности с акцентом на угрозы современного киберпространства.

Тщательный мониторинг и оперативное реагирование остаются ключевыми факторами для противодействия подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT41 использует Google Calendar для управления вредоносом TOUGHPROGRESS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Google
89,1 тыс интересуются