Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT41 использует Google Calendar в новой кибератаке TOUGHPROGRESS

3 мин
Китайская государственная хакерская группа APT41, также известная под кодовым именем HOODOO, запустила сложную киберкампанию, нацеленную на несколько правительственных организаций. Недавнее расследование группы Google по анализу угроз выявило новый тип вредоносного ПО под названием TOUGHPROGRESS, использующий необычный способ коммуникации через сервис Google Calendar. TOUGHPROGRESS представляет собой уникальное вредоносное ПО, которое внедряет зашифрованные команды и данные непосредственно в события календаря Google. Таким образом злоумышленники могут использовать Google Calendar как канал управления (C2), замаскированный под легитимный облачный трафик. Это значительно усложняет обнаружение вредоносной активности через традиционные методы мониторинга. Особенности TOUGHPROGRESS: TOUGHPROGRESS — результат эволюции вредоносных инструментов APT41. В предыдущих операциях группа использовала такие вредоносные программы, как VOLDEMORT и DUSTTRAP, которые также применяли облачную инфраструктур
Оглавление

Китайская государственная хакерская группа APT41, также известная под кодовым именем HOODOO, запустила сложную киберкампанию, нацеленную на несколько правительственных организаций. Недавнее расследование группы Google по анализу угроз выявило новый тип вредоносного ПО под названием TOUGHPROGRESS, использующий необычный способ коммуникации через сервис Google Calendar.

Новый уровень маскировки через Google Calendar

TOUGHPROGRESS представляет собой уникальное вредоносное ПО, которое внедряет зашифрованные команды и данные непосредственно в события календаря Google. Таким образом злоумышленники могут использовать Google Calendar как канал управления (C2), замаскированный под легитимный облачный трафик. Это значительно усложняет обнаружение вредоносной активности через традиционные методы мониторинга.

Особенности TOUGHPROGRESS:

  • Выполнение команд на заражённых хостах;
  • Эксфильтрация украденных данных, скрываемых в описаниях событий календаря;
  • Работа исключительно в памяти, что позволяет избежать обнаружения файлами;
  • Использование шифрования, сжатия и сложных техник запутывания потока управления для повышения скрытности.

Предшественники и развитие методик APT41

TOUGHPROGRESS — результат эволюции вредоносных инструментов APT41. В предыдущих операциях группа использовала такие вредоносные программы, как VOLDEMORT и DUSTTRAP, которые также применяли облачную инфраструктуру для C2 communications. Новое ПО демонстрирует способность APT41 постоянно адаптироваться и совершенствовать методы атаки, используя привычные сервисы в неблаговидных целях.

Сценарий атаки и методы внедрения

Кампания обычно стартует с фишинговой рассылки, в результате которой жертвы получают доступ к ZIP-архиву, размещённому на взломанном правительственном сайте. В архиве находятся:

  • файл Windows LNK, маскирующийся под PDF;
  • несколько изображений формата JPEG, два из которых содержат вредоносный код.

Далее происходит развертывание сложной цепочки загрузчиков:

  • PLUSDROP — расшифровывает и выполняет последующие этапы атаки;
  • PLUSINJECT — внедряет вредоносный код в процесс svchost.exe, обеспечивая запуск TOUGHPROGRESS.

После активации TOUGHPROGRESS взаимодействует с управляемыми злоумышленниками событиями Google Calendar, создавая короткие (ноль минут) события, содержащие зашифрованную информацию — системные данные или команды. Для снижения вероятности обнаружения используются сокращённые ссылки (например, TinyURL).

Техники уклонения от обнаружения

APT41 применяет множество продвинутых тактик для маскировки:

  • операции выполняются исключительно в памяти (fileless execution);
  • используется шифрование и сжатие команд и данных;
  • запутывание потока управления и блокировка процессов;
  • трафик выглядит как обычное использование законных облачных сервисов.

Рекомендации по защите от TOUGHPROGRESS и APT41

Для противодействия таким угрозам экспертами рекомендованы следующие меры:

  • обучение сотрудников распознаванию фишинговых писем;
  • мониторинг аномалий в использовании облачных сервисов, в частности Google Calendar;
  • применение современных средств endpoint protection, способных обнаруживать fileless malware и сложные методы внедрения;
  • поддержание актуальной базы информации об угрозах;
  • использование готовых правил обнаружения YARA, разработанных Google, для выявления артефактов TOUGHPROGRESS.

Заключение

Кампания APT41 является ярким примером того, как современные государственные хакерские группы совершенствуют свои методы, комбинируя кибершпионаж с изощрёнными техниками эксплуатации повседневных сервисов, таких как Google Calendar. Это подчеркивает _необходимость принятия упреждающих и адаптивных мер кибербезопасности_ для защиты критически важных инфраструктур.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT41 использует Google Calendar в новой кибератаке TOUGHPROGRESS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.