Китайське угруповання APT41 створило нове шкідливе програмне забезпечення під назвою ToughProgress, яке використовує Google Calendar як канал для зв’язку з командним сервером. Так зловмисники маскують свою активність під легітимний хмарний сервіс.
Китайське угруповання APT41 створило нове шкідливе програмне забезпечення під назвою ToughProgress, яке використовує Google Calendar як канал для зв’язку з командним сервером. Так зловмисники маскують свою активність під легітимний хмарний сервіс.
За інформацією BleepingComputer, кампанію викрила команда Google Threat Intelligence Group. У відповідь компанія видалила зловмисні події в Google Calendar, заблокувала облікові записи Workspace, які використовувалися для атаки, і впровадила захисні заходи для запобігання подібним зловживанням у майбутньому.
ToughProgress — це нова багаторівнева загроза, яка починається зі шкідливого листа із посиланням на ZIP-архів, розміщений на зламаному урядовому сайті. Всередині архіву — LNK-файл, що маскується під PDF-документ, та кілька псевдозображень зі шкідливими компонентами.
Ключова роль у запуску належить DLL-файлу, який розшифровує завантажений зашифрований файл і виконує наступний етап — компонент PlusInject. Останній через техніку process hollowing впроваджує у процес svhost.exe фінальне шкідливе ПЗ — ToughProgress.
Malware підключається до попередньо визначеного календаря в Google Calendar, зчитує команди з прихованих подій, а після виконання завдань — записує результати у нові події для зворотного зв’язку з хакерами. Така схема дозволяє уникати виявлення, адже обмін даними відбувається через легітимну хмарну платформу, а шкідливе ПЗ ніколи не зберігається на диску.
Це одна з найактивніших державних кібергруп Китаю, відома атаками на приватні й державні організації по всьому світу. Раніше зловмисники вже використовували сервіси Google, зокрема Sheets та Drive, у подібних кампаніях, наприклад, із malware Voldemort у 2023 році. Зловживання інфраструктурою популярних хмарних сервісів стає дедалі поширенішим підходом для обходу систем захисту, адже така активність виглядає легітимно, на перший погляд. Google співпрацює з компанією Mandiant для ідентифікації постраждалих організацій та передала їм приклади заражень і журнали трафіку для подальшого аналізу.
Раніше ми писали про масштабний злам понад 9 тис. маршрутизаторів Asus у всьому світі. Хакери отримують постійний доступ до пристроїв, який зберігається навіть після перезавантаження чи оновлення прошивки.
