В среду Google объявил, что китайская хакерская группировка APT41 использовала вредоносную программу TOUGHPROGRESS, управляемую через Google Календарь.
Компания обнаружила эту кампанию в конце октября 2024 года и уточнила, что вредонос был размещён на взломанном правительственном сайте и применялся для атак на ряд других государственных учреждений.
«Злоупотребление облачными сервисами для управления вредоносными программами — распространённый приём у хакеров, который помогает скрывать атаки под видом обычной активности», — пояснил исследователь из Google Threat Intelligence Group (GTIG) Патрик Уитселл.
APT41, известная также под названиями Axiom, Blackfly, Brass Typhoon и другими, — это группировка, связанная с государственными спецслужбами Китая. Она специализируется на взломах правительственных структур и компаний из отраслей судоходства, логистики, медиа, IT и автомобилестроения.
В июле 2024 года Google сообщил о целенаправленных атаках на организации в Италии, Испании, Тайване, Таиланде, Турции и Великобритании, где злоумышленники использовали веб-шеллы и загрузчики под названиями ANTSWORD, BLUEBEAM, DUSTPAN и DUSTTRAP.
Ранее в этом году отдельное подразделение APT41 проводило атаки на японские предприятия из секторов производства, материалов и энергетики в рамках кампании RevivalStone.
Последняя схема атаки, описанная Google, начинается с фишингового письма с ссылкой на ZIP-архив, размещённый на взломанном правительственном портале. В архиве — папка и ярлык Windows (файл LNK), замаскированный под PDF-документ. В папке находятся семь изображений членистоногих, пронумерованных от «1.jpg» до «7.jpg».
Заражение происходит при запуске файла LNK: пользователю показывается поддельный PDF с сообщением о необходимости декларировать виды для экспорта. При этом «6.jpg» и «7.jpg» — подделки.
«Первый файл содержит зашифрованный вредоносный код, который расшифровывается вторым DLL-файлом и запускается после клика по ярлыку», — объясняет Уитселл. Кроме того, вредонос скрывается с помощью загрузки в память, шифрования, сжатия и обфускации команд.
Вредонос состоит из трёх последовательных модулей, каждый из которых выполняет свою задачу:
- PLUSDROP — DLL, который расшифровывает и запускает следующий этап в памяти;
- PLUSINJECT — внедряется в легитимный процесс «svchost.exe» с помощью техники process hollowing для запуска финального вредоносного кода;
- TOUGHPROGRESS — основной модуль, управляющийся через Google Календарь.
Вредонос читает и записывает события в управляемом злоумышленниками календаре, создавая события с нулевой длительностью на фиксированную дату (30 мая 2023), в описаниях которых хранит собранные данные.
Команды шифруются и размещаются в событиях календаря на 30 и 31 июля 2023 года, откуда вредонос регулярно их считывает, расшифровывает и выполняет на заражённой Windows-машине. Результаты работы отправляются обратно в другие события календаря для дальнейшего извлечения.
Google уже удалил вредоносный календарь и заблокировал связанные аккаунты в Workspace, остановив тем самым кампанию. Пострадавшие организации уведомлены. Масштабы операции пока неизвестны.
Это не первый случай, когда APT41 использует сервисы Google в своих целях. В апреле 2023 года они атаковали тайваньскую медиа-компанию, применяя инструмент Google Command and Control (GC2), построенный на Go, который доставлялся через защищённые паролем файлы, размещённые в Google Drive.
После установки GC2 действует как бекдор, получает команды из Google Sheets и отправляет украденные данные через облачное хранилище.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru