APT41 – ToughProgress malware: Κατάχρηση Google Calendar για C2 σκοπούς
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
APT41 – ToughProgress malware: Κατάχρηση Google Calendar για C2 σκοπούς
https://www.secnews.gr/649584/apt41-toughprogress-malware-kataxrisi-google-calendar-gia-c2-skopous/
May 29th 2025, 10:49
by Digital Fortress
Η διαβόητη κινεζική ομάδα κυβερνοκατασκοπείας APT41 χρησιμοποιεί ένα νέο malware με την ονομασία ToughProgress, το οποίο αξιοποιεί το Google Calendar ως πλατφόρμα εντολών και ελέγχου (C2). Με τον τρόπο αυτό, οι επιτιθέμενοι αποκρύπτουν την κακόβουλη δραστηριότητα πίσω από μια ευρέως αποδεκτή και αξιόπιστη cloud υπηρεσία, δυσκολεύοντας τον εντοπισμό τους.
Η συγκεκριμένη καμπάνια εντοπίστηκε από την Threat Analysis Group (TAG) της Google, η οποία κατάφερε να εξαρθρώσει την υποδομή που είχε δημιουργηθεί μέσα από τις υπηρεσίες Google Calendar και Google Workspace. Παράλληλα, η εταιρεία προχώρησε σε ενίσχυση των αμυντικών της μηχανισμών ώστε να αποτρέψει μελλοντικές καταχρήσεις των πλατφορμών της.
Αν και η εκμετάλλευση του Google Calendar ως μηχανισμού C2 δεν είναι καινούργια τακτική, η συστηματική αξιοποίηση υπηρεσιών της Google από την APT41 είναι ανησυχητική. Τον Απρίλιο του 2023, η ίδια ομάδα είχε επιστρατεύσει τα Google Sheets και Google Drive σε άλλη καμπάνια, για τη διανομή του Voldemort malware.
Δείτε επίσης: Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
APT41 – ToughProgress malware: Πώς εξελίσσεται η επίθεση
Η εκστρατεία ξεκινά με την αποστολή phishing email, το οποίο περιέχει σύνδεσμο προς αρχείο ZIP φιλοξενούμενο σε παραβιασμένο κυβερνητικό ιστότοπο.
Το αρχείο περιλαμβάνει ένα σύνθετο πακέτο:
• Ένα Windows LNK file, καμουφλαρισμένο ως PDF έγγραφο.
• Ένα payload, που εμφανίζεται σαν εικόνα JPG.
• Ένα αρχείο DLL, επίσης μεταμφιεσμένο ως εικόνα, που αναλαμβάνει την αποκρυπτογράφηση και εκτέλεση του payload.
Η ομάδα APT41 συνεχίζει να καινοτομεί σε τακτικές απόκρυψης malware, χρησιμοποιώντας ψευδο-εικόνες για να ξεγελάσει τους μηχανισμούς ασφαλείας. Σύμφωνα με την Google, τα αρχεία "6.jpg" και "7.jpg" παρουσιάζονται ως αθώες εικόνες, όμως στην πραγματικότητα φιλοξενούν κρίσιμα τμήματα της επίθεσης: το πρώτο είναι ένα κρυπτογραφημένο payload, ενώ το δεύτερο, ένα αρχείο DLL που αποκρυπτογραφεί και ενεργοποιεί το πρώτο, όταν το θύμα κάνει κλικ στο αρχικό αρχείο LNK.
Το DLL αναγνωρίζεται ως "PlusDrop", ένα component που αποκρυπτογραφεί και εκτελεί το επόμενο στάδιο, "PlusInject", εξ ολοκλήρου στη μνήμη. Στη συνέχεια, το PlusInject εισάγει το τελικό malware payload ToughProgress της APT41 μέσα στη νόμιμη διεργασία των Windows, svchost.exe (μέσω process hollowing).
Το Google Calendar ως δίαυλος επικοινωνίας των χάκερ
Το ToughProgress malware συνδέεται σε ένα hardcoded Google Calendar endpoint. Η APT41 ανεβάζει τις οδηγίες εκτέλεσης στο πεδίο περιγραφής κρυφών ημερολογιακών συμβάντων, τα οποία διαβάζει το malware. Μόλις ολοκληρωθούν οι εντολές, τα αποτελέσματα ανεβαίνουν πίσω στο ημερολόγιο σε νέα συμβάντα, επιτρέποντας στους επιτιθέμενους να παρακολουθούν και να κατευθύνουν δυναμικά τις επόμενες κινήσεις τους.
Δείτε επίσης: Google Ads διαδίδουν malware μέσω ψεύτικου Homebrew Site
Χάρη στην in-memory λειτουργία και την κατάχρηση νόμιμων cloud υπηρεσιών για επικοινωνία C2, η καμπάνια ξεφεύγει από τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Άμεση αντίδραση από την Google
Η Google δήλωσε πως εντόπισε και διέκοψε τη λειτουργία πολλών λογαριασμών Google Workspace που χρησιμοποιήθηκαν από την APT41, ενώ διέγραψε όλα τα κακόβουλα συμβάντα Google Calendar. Παράλληλα, ενημερώθηκε η λίστα Safe Browsing, προειδοποιώντας χρήστες που προσπαθούν να επισκεφθούν σχετικούς ιστότοπους και εμποδίζοντας τη φόρτωσή τους μέσω των υπηρεσιών της Google.
Αν και η εταιρεία δεν αποκάλυψε τα ονόματα των οργανισμών που επηρεάστηκαν, δήλωσε ότι συνεργάζεται στενά με τη Mandiant για την ειδοποίηση και υποστήριξη των θυμάτων. Παράλληλα, έχει μοιραστεί δείγματα του κακόβουλου λογισμικού και traffic logs για να βοηθήσει στον εντοπισμό και την αποκατάσταση πιθανών μολύνσεων.
Δείτε επίσης: Fake installers για LetsVPN & QQ Browser διανέμουν το Winos 4.0 malware
Η παραπάνω απειλή ξεπερνά τις απλές phishing καμπάνιες και αγγίζει επίπεδα προηγμένου κυβερνοπολέμου. Ο συνδυασμός κοινωνικής μηχανικής, μεταμφίεσης αρχείων και κατάχρησης νόμιμων υπηρεσιών για C2 σκοπούς αποδεικνύει την αυξανόμενη πολυπλοκότητα του κυβερνοεγκλήματος — και τη δυσκολία που έχουν ακόμα και τεχνολογικοί κολοσσοί όπως η Google στο να το αντιμετωπίσουν.
Αυτό αποτελεί ξεκάθαρη προειδοποίηση για οργανισμούς, ειδικά σε σημαντικούς τομείς (υγεία, χρηματοπιστωτικά, κυβερνήσεις) να επανεξετάσουν τα μοντέλα απειλών τους και να ενισχύσουν τα συστήματα παρακολούθησης και απόκρισης.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
APT41 – ToughProgress malware: Κατάχρηση Google Calendar για C2 σκοπούς
https://www.secnews.gr/649584/apt41-toughprogress-malware-kataxrisi-google-calendar-gia-c2-skopous/
May 29th 2025, 10:49
by Digital Fortress
Η διαβόητη κινεζική ομάδα κυβερνοκατασκοπείας APT41 χρησιμοποιεί ένα νέο malware με την ονομασία ToughProgress, το οποίο αξιοποιεί το Google Calendar ως πλατφόρμα εντολών και ελέγχου (C2). Με τον τρόπο αυτό, οι επιτιθέμενοι αποκρύπτουν την κακόβουλη δραστηριότητα πίσω από μια ευρέως αποδεκτή και αξιόπιστη cloud υπηρεσία, δυσκολεύοντας τον εντοπισμό τους.
Η συγκεκριμένη καμπάνια εντοπίστηκε από την Threat Analysis Group (TAG) της Google, η οποία κατάφερε να εξαρθρώσει την υποδομή που είχε δημιουργηθεί μέσα από τις υπηρεσίες Google Calendar και Google Workspace. Παράλληλα, η εταιρεία προχώρησε σε ενίσχυση των αμυντικών της μηχανισμών ώστε να αποτρέψει μελλοντικές καταχρήσεις των πλατφορμών της.
Αν και η εκμετάλλευση του Google Calendar ως μηχανισμού C2 δεν είναι καινούργια τακτική, η συστηματική αξιοποίηση υπηρεσιών της Google από την APT41 είναι ανησυχητική. Τον Απρίλιο του 2023, η ίδια ομάδα είχε επιστρατεύσει τα Google Sheets και Google Drive σε άλλη καμπάνια, για τη διανομή του Voldemort malware.
Δείτε επίσης: Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
APT41 – ToughProgress malware: Πώς εξελίσσεται η επίθεση
Η εκστρατεία ξεκινά με την αποστολή phishing email, το οποίο περιέχει σύνδεσμο προς αρχείο ZIP φιλοξενούμενο σε παραβιασμένο κυβερνητικό ιστότοπο.
Το αρχείο περιλαμβάνει ένα σύνθετο πακέτο:
• Ένα Windows LNK file, καμουφλαρισμένο ως PDF έγγραφο.
• Ένα payload, που εμφανίζεται σαν εικόνα JPG.
• Ένα αρχείο DLL, επίσης μεταμφιεσμένο ως εικόνα, που αναλαμβάνει την αποκρυπτογράφηση και εκτέλεση του payload.
Η ομάδα APT41 συνεχίζει να καινοτομεί σε τακτικές απόκρυψης malware, χρησιμοποιώντας ψευδο-εικόνες για να ξεγελάσει τους μηχανισμούς ασφαλείας. Σύμφωνα με την Google, τα αρχεία "6.jpg" και "7.jpg" παρουσιάζονται ως αθώες εικόνες, όμως στην πραγματικότητα φιλοξενούν κρίσιμα τμήματα της επίθεσης: το πρώτο είναι ένα κρυπτογραφημένο payload, ενώ το δεύτερο, ένα αρχείο DLL που αποκρυπτογραφεί και ενεργοποιεί το πρώτο, όταν το θύμα κάνει κλικ στο αρχικό αρχείο LNK.
Το DLL αναγνωρίζεται ως "PlusDrop", ένα component που αποκρυπτογραφεί και εκτελεί το επόμενο στάδιο, "PlusInject", εξ ολοκλήρου στη μνήμη. Στη συνέχεια, το PlusInject εισάγει το τελικό malware payload ToughProgress της APT41 μέσα στη νόμιμη διεργασία των Windows, svchost.exe (μέσω process hollowing).
Το Google Calendar ως δίαυλος επικοινωνίας των χάκερ
Το ToughProgress malware συνδέεται σε ένα hardcoded Google Calendar endpoint. Η APT41 ανεβάζει τις οδηγίες εκτέλεσης στο πεδίο περιγραφής κρυφών ημερολογιακών συμβάντων, τα οποία διαβάζει το malware. Μόλις ολοκληρωθούν οι εντολές, τα αποτελέσματα ανεβαίνουν πίσω στο ημερολόγιο σε νέα συμβάντα, επιτρέποντας στους επιτιθέμενους να παρακολουθούν και να κατευθύνουν δυναμικά τις επόμενες κινήσεις τους.
Δείτε επίσης: Google Ads διαδίδουν malware μέσω ψεύτικου Homebrew Site
Χάρη στην in-memory λειτουργία και την κατάχρηση νόμιμων cloud υπηρεσιών για επικοινωνία C2, η καμπάνια ξεφεύγει από τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Άμεση αντίδραση από την Google
Η Google δήλωσε πως εντόπισε και διέκοψε τη λειτουργία πολλών λογαριασμών Google Workspace που χρησιμοποιήθηκαν από την APT41, ενώ διέγραψε όλα τα κακόβουλα συμβάντα Google Calendar. Παράλληλα, ενημερώθηκε η λίστα Safe Browsing, προειδοποιώντας χρήστες που προσπαθούν να επισκεφθούν σχετικούς ιστότοπους και εμποδίζοντας τη φόρτωσή τους μέσω των υπηρεσιών της Google.
Αν και η εταιρεία δεν αποκάλυψε τα ονόματα των οργανισμών που επηρεάστηκαν, δήλωσε ότι συνεργάζεται στενά με τη Mandiant για την ειδοποίηση και υποστήριξη των θυμάτων. Παράλληλα, έχει μοιραστεί δείγματα του κακόβουλου λογισμικού και traffic logs για να βοηθήσει στον εντοπισμό και την αποκατάσταση πιθανών μολύνσεων.
Δείτε επίσης: Fake installers για LetsVPN & QQ Browser διανέμουν το Winos 4.0 malware
Η παραπάνω απειλή ξεπερνά τις απλές phishing καμπάνιες και αγγίζει επίπεδα προηγμένου κυβερνοπολέμου. Ο συνδυασμός κοινωνικής μηχανικής, μεταμφίεσης αρχείων και κατάχρησης νόμιμων υπηρεσιών για C2 σκοπούς αποδεικνύει την αυξανόμενη πολυπλοκότητα του κυβερνοεγκλήματος — και τη δυσκολία που έχουν ακόμα και τεχνολογικοί κολοσσοί όπως η Google στο να το αντιμετωπίσουν.
Αυτό αποτελεί ξεκάθαρη προειδοποίηση για οργανισμούς, ειδικά σε σημαντικούς τομείς (υγεία, χρηματοπιστωτικά, κυβερνήσεις) να επανεξετάσουν τα μοντέλα απειλών τους και να ενισχύσουν τα συστήματα παρακολούθησης και απόκρισης.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz