Google heeft woensdag bekendgemaakt dat de door de Chinese door de staat gesponsorde dreigingsacteur bekend als APT41 een malware genaamd ToughProgress die Google Agenda gebruikt voor command-and-control (C2) gebruikt.
De tech -gigant, die de activiteit eind oktober 2024 ontdekte, zei dat de malware werd gehost op een gecompromitteerde overheidswebsite en werd gebruikt om meerdere andere overheidsentiteiten te richten.
“Misbruik van cloudservices voor C2 is een techniek die veel dreigingsactoren gebruiken om op te gaan met legitieme activiteit,” zei Patrick Whitsell, onderzoeker van Google Threat Intelligence Group (GTIG).
APT41, ook gevolgd als Axiom, Blackfly, Brass Typhoon (voorheen Barium), Bronze Atlas, Earth Baku, Hoodoo, Red Kelpie, TA415, Wicked Panda, en Winnti, is de naam toegewezen aan een productie-statengroep die bekend staat aan een productie van een productieve natiestaten.
In juli 2024 onthulde Google dat verschillende entiteiten die binnen deze industrie verticaal actief zijn in Italië, Spanje, Taiwan, Thailand, Turkije en het VK, het doelwit waren van een “aanhoudende campagne” met behulp van een combinatie van webschalen en droppers zoals Antsword, Blubeam, Dustpan en Dusttrap.
Vervolgens werd eerder dit jaar in maart 2024 een subcluster binnen de APT41-paraplu geïdentificeerd als aanvallende Japanse bedrijven in de productie-, materialen- en energiesectoren als onderdeel van een campagne die Revivalstone werd genoemd.
De nieuwste aanvalsketen gedocumenteerd door Google omvat het verzenden van speer-phishing-e-mails met een link naar een zip-archief dat wordt gehost op de uitgebuite overheidswebsite. Het ZIP -bestand bevat een map en een Windows -snelkoppeling (LNK) die zich vermomt als een PDF -document. De map bevat wat zeven verschillende afbeeldingen lijken te zijn van geleedpotigen (van “1.JPG” tot “7.JPG”).
De infectie begint wanneer het LNK -bestand wordt gelanceerd, waardoor een lokvogel PDF wordt gepresenteerd aan de ontvanger waarin staat dat de soort uit de map moet worden verklaard voor export. Het is echter vermeldenswaard dat “6.jpg” en “7.jpg” nepbeelden zijn.
“Het eerste bestand is eigenlijk een gecodeerde payload en wordt gedecodeerd door het tweede bestand, dat een DLL-bestand is dat wordt gestart wanneer het doel op de LNK klikt,” zei Whitsell, het toevoegen van de malware-implementeert verschillende stealth- en ontwijkingstechnieken, zoals geheugen-alleen-payloads, codering, compressie en controle-stroomverstoring.
De malware bestaat uit drie verschillende componenten, die elk in serie worden ingezet en zijn ontworpen om een specifieke functie uit te voeren –
- PlusDrop, de DLL die werd gebruikt om de volgende fase in het geheugen te decoderen en uit te voeren
- PlusInject, dat proceshollowing lanceert en uitvoert op een legitiem “svchost.exe” -proces om de uiteindelijke payload te injecteren
- ToughProgress, de primaire malware die Google Agenda gebruikt voor C2
De malware is ontworpen om evenementen te lezen en te schrijven met een door aanvallers gecontroleerde Google-agenda, waardoor een nul-minuut evenement op een hardcode datum (2023-05-30) wordt gecreëerd om de geoogste gegevens in de gebeurtenisbeschrijving op te slaan.
De operators plaatsen gecodeerde opdrachten in agenda -evenementen op 30 en 31 juli 2023, die vervolgens worden ondervraagd door de malware, gedecodeerd, uitgevoerd op de gecompromitteerde Windows -host en de resultaten die zijn teruggeschreven naar een ander kalendergebeurtenis van waar ze door de aanvallers kunnen worden geëxtraheerd.
Google zei dat het de stap heeft gezet om de kwaadaardige Google -agenda neer te halen en de bijbehorende werkruimteprojecten te beëindigen, waardoor de hele campagne wordt geneutraliseerd. Het zei ook dat getroffen organisaties op de hoogte werden gebracht. De exacte schaal van de campagne is onduidelijk.
Dit is niet de eerste keer dat APT41 de diensten van Google in zijn voordeel heeft bewapend. In april 2023 onthulde Google dat de dreigingsacteur zich richtte op een niet nader genoemde Taiwanese mediaorganisatie om een GO-gebaseerde open-source rode teamingtool te leveren, bekend als Google Command and Control (GC2), geleverd via wachtwoordbeveiligde bestanden die op Google Drive waren gehost.
Eenmaal geïnstalleerd, fungeert GC2 als een achterdeur om commando’s van Google Sheets te lezen en gegevens te exfiltreren met behulp van de cloudopslagservice.
