Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT41: Инновационные кибератаки с использованием Google Calendar

3 мин
APT41, известная также под именами BARIUM, Wicked Panda и Brass Typhoon, представляет собой одну из самых изощрённых китайских хакерских группировок, спонсируемых государством. Эта организация комбинирует методы кибершпионажа с финансово ориентированными кибератаками, причиняя ущерб как государственным учреждениям, так и коммерческим структурам по всему миру. APT41 ориентируется на целый ряд стратегически важных отраслей: Группа использует пользовательские вредоносные программы и программы-вымогатели, сочетая традиционные методы кибершпионажа с криминальными тактиками, что делает её особенно опасной для кибербезопасности. Деятельность APT41, продолжающаяся с 2012 года, получила новое развитие в недавней кампании, направленной против веб-сайта правительства Тайваня. В этой операции эксперты зафиксировали уникальное применение Google Calendar как средства управления Command and Control (C2). Для проникновения использовалась тщательно организованная фишинговая атака: После активации вредо
Оглавление

APT41, известная также под именами BARIUM, Wicked Panda и Brass Typhoon, представляет собой одну из самых изощрённых китайских хакерских группировок, спонсируемых государством. Эта организация комбинирует методы кибершпионажа с финансово ориентированными кибератаками, причиняя ущерб как государственным учреждениям, так и коммерческим структурам по всему миру.

Основные цели и особенности деятельности

APT41 ориентируется на целый ряд стратегически важных отраслей:

  • здравоохранение;
  • телекоммуникации;
  • программное обеспечение;
  • государственные учреждения.

Группа использует пользовательские вредоносные программы и программы-вымогатели, сочетая традиционные методы кибершпионажа с криминальными тактиками, что делает её особенно опасной для кибербезопасности.

Методы атаки: новаторство в эксплуатации Google Calendar

Деятельность APT41, продолжающаяся с 2012 года, получила новое развитие в недавней кампании, направленной против веб-сайта правительства Тайваня. В этой операции эксперты зафиксировали уникальное применение Google Calendar как средства управления Command and Control (C2).

Для проникновения использовалась тщательно организованная фишинговая атака:

  • жертвы получали электронные письма с фишинговыми ссылками;
  • предлагался ZIP-архив, размещённый на взломанном сайте;
  • в архиве находился файл-ярлык Windows, замаскированный под PDF, а также несколько изображений;
  • изображения с названиями «6.jpg» и «7.jpg» содержали части вредоносной полезной нагрузки.

После активации вредоносная структура ToughProgress распадалась на три модуля:

  • PLUSDROP — отвечает за расшифровку изображения «6.jpg» и выполнение его через rundll32.exe;
  • PLUSINJECT — внедряется в легитимный процесс svchost.exe, что помогает обходить системы обнаружения;
  • TOUGHPROGRESS — основной модуль, выполняющий расшифровку и запуск вредоносного кода напрямую из памяти, что исключает появление вредоносной активности на диске.

Технические особенности и методы сокрытия

TOUGHPROGRESS применяет инновационный алгоритм расшифровки на основе исключений, позволяющий выполнять вредоносный код непосредственно из оперативной памяти. Такой подход минимизирует риск обнаружения антивирусами и EDR-системами, поскольку не оставляет традиционных следов на диске.

Кроме того, этот модуль целенаправленно атакует критические компоненты операционной системы Windows, включая ntoskrnl.exe. Продвинутые низкоуровневые операции позволят группе повышать привилегии и предотвращать криминалистический анализ системы.

Уникальная тактика коммуникации через Google Calendar

Одним из самых поразительных элементов этой кампании стала схема взаимодействия с инфраструктурой Google Calendar:

  • создаются и редактируются события календаря, которые используются как канал обмена зашифрованными данными и командами;
  • зашифрованные данные внедряются в описания событий;
  • вредоносное ПО извлекает, расшифровывает, исполняет команды и записывает результаты обратно в новые события календаря.

Такой способ коммуникации не только затрудняет обнаружение, но и эксплуатирует легитимный сервис, что значительно снижает подозрительность с точки зрения систем безопасности.

Ответ Google и перспективы борьбы с угрозой

В ответ на обнаруженные активности Google внедрила специализированные механизмы обнаружения вредоносных программ, связанных с Google Calendar, а также инструменты для отключения скомпрометированных проектов Workspace, что существенно снижает эффективность действий APT41 в этой среде.

Заключение

APT41 — это сложноорганизованная и многофункциональная угроза, сочетающая государственный уровень кибершпионажа с криминальными мотивами извлечения прибыли. Инновационные методы, внедрение вредоносного кода в системные процессы и использование легитимных сервисов для коммуникации делают эту группу постоянным и серьезным вызовом для экспертов в области кибербезопасности во всем мире.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT41: Инновационные кибератаки с использованием Google Calendar".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.