🔍 Китайская группа APT41 использовала Google Calendar для управления вредоносным ПО
🛡️ Google обнаружила активность в конце октября 2024 года. Вредоносная программа TOUGHPROGRESS размещалась на взломанном правительственном сайте.
📧 Как работает атака
Фишинговые письма содержали ссылку на ZIP-архив с LNK-файлом, маскирующимся под PDF. При запуске показывался поддельный документ, а в фоне запускалось заражение.
⚙️ Компоненты вредоноса
PLUSDROP DLL расшифровывал и выполнял следующий этап. PLUSINJECT внедрял нагрузку в svchost.exe. TOUGHPROGRESS использовал Google Calendar для управления.
📅 Необычный C2-канал
APT41 передавала команды через события в Google Calendar. Результаты операций записывались обратно в календарь.
🚨 Google заблокировала вредоносные календари и уведомила жертв. Ранее APT41 использовала Google Drive и Sheets для аналогичных атак.
#apt41_вредоносное_по #google_calendar_управление #фишинговая_атака
📌 Не забудь подписаться
