APT41: Инновационные кибератаки с использованием Google Calendar
APT41, известная также под именами BARIUM, Wicked Panda и Brass Typhoon, представляет собой одну из самых изощрённых китайских хакерских группировок, спонсируемых государством. Эта организация комбинирует методы кибершпионажа с финансово ориентированными кибератаками, причиняя ущерб как государственным учреждениям, так и коммерческим структурам по всему миру.
Основные цели и особенности деятельности
APT41 ориентируется на целый ряд стратегически важных отраслей:
- здравоохранение;
- телекоммуникации;
- программное обеспечение;
- государственные учреждения.
Группа использует пользовательские вредоносные программы и программы-вымогатели, сочетая традиционные методы кибершпионажа с криминальными тактиками, что делает её особенно опасной для кибербезопасности.
Методы атаки: новаторство в эксплуатации Google Calendar
Деятельность APT41, продолжающаяся с 2012 года, получила новое развитие в недавней кампании, направленной против веб-сайта правительства Тайваня. В этой операции эксперты зафиксировали уникальное применение Google Calendar как средства управления Command and Control (C2).
Для проникновения использовалась тщательно организованная фишинговая атака:
- жертвы получали электронные письма с фишинговыми ссылками;
- предлагался ZIP-архив, размещённый на взломанном сайте;
- в архиве находился файл-ярлык Windows, замаскированный под PDF, а также несколько изображений;
- изображения с названиями «6.jpg» и «7.jpg» содержали части вредоносной полезной нагрузки.
После активации вредоносная структура ToughProgress распадалась на три модуля:
- PLUSDROP — отвечает за расшифровку изображения «6.jpg» и выполнение его через rundll32.exe;
- PLUSINJECT — внедряется в легитимный процесс svchost.exe, что помогает обходить системы обнаружения;
- TOUGHPROGRESS — основной модуль, выполняющий расшифровку и запуск вредоносного кода напрямую из памяти, что исключает появление вредоносной активности на диске.
Технические особенности и методы сокрытия
TOUGHPROGRESS применяет инновационный алгоритм расшифровки на основе исключений, позволяющий выполнять вредоносный код непосредственно из оперативной памяти. Такой подход минимизирует риск обнаружения антивирусами и EDR-системами, поскольку не оставляет традиционных следов на диске.
Кроме того, этот модуль целенаправленно атакует критические компоненты операционной системы Windows, включая ntoskrnl.exe. Продвинутые низкоуровневые операции позволят группе повышать привилегии и предотвращать криминалистический анализ системы.
Уникальная тактика коммуникации через Google Calendar
Одним из самых поразительных элементов этой кампании стала схема взаимодействия с инфраструктурой Google Calendar:
- создаются и редактируются события календаря, которые используются как канал обмена зашифрованными данными и командами;
- зашифрованные данные внедряются в описания событий;
- вредоносное ПО извлекает, расшифровывает, исполняет команды и записывает результаты обратно в новые события календаря.
Такой способ коммуникации не только затрудняет обнаружение, но и эксплуатирует легитимный сервис, что значительно снижает подозрительность с точки зрения систем безопасности.
Ответ Google и перспективы борьбы с угрозой
В ответ на обнаруженные активности Google внедрила специализированные механизмы обнаружения вредоносных программ, связанных с Google Calendar, а также инструменты для отключения скомпрометированных проектов Workspace, что существенно снижает эффективность действий APT41 в этой среде.
Заключение
APT41 — это сложноорганизованная и многофункциональная угроза, сочетающая государственный уровень кибершпионажа с криминальными мотивами извлечения прибыли. Инновационные методы, внедрение вредоносного кода в системные процессы и использование легитимных сервисов для коммуникации делают эту группу постоянным и серьезным вызовом для экспертов в области кибербезопасности во всем мире.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
