СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.05.2025
#ИБ#Облака

APT41 использует Google Calendar для управления вредоносом TOUGHPROGRESS

APT41 использует Google Calendar для управления вредоносом TOUGHPROGRESS

Источник: cloud.google.com

В конце октября 2024 года команда Google Threat Intelligence Group (GTIG) выявила новую масштабную кампанию китайской хакерской группы APT41 (известной также как HOODOO), в рамках которой использовался взломанный правительственный сайт для распространения сложного вредоносного ПО под названием TOUGHPROGRESS. Уникальность атаки заключается в использовании легитимного облачного сервиса – Google Calendar – в качестве канала управления (C2), что значительно усложняет обнаружение и нейтрализацию угрозы.

Механизм заражения и методы распространения

Для доставки вредоносного ПО злоумышленники применяли фишинговые email-рассылки со ссылками на ZIP-архив, размещённый на скомпрометированном государственном сайте. Внутри архива содержался файл с расширением .LNK, маскирующийся под PDF-документ, а также каталог с изображениями.

  • После запуска файл .LNK самоуничтожался и открывал для пользователя поддельный PDF-файл.
  • Тем временем настоящая полезная нагрузка TOUGHPROGRESS начинала работу в фоновом режиме.

Структура и функции вредоносного ПО TOUGHPROGRESS

TOUGHPROGRESS состоит из трёх взаимосвязанных модулей, каждый из которых отвечает за определённые этапы атаки и использует сложные методы уклонения от обнаружения:

  • PLUSDROP – осуществляет расшифровку и выполнение последующих стадий загрузки.
  • PLUSINJECT – внедряется в легитимный процесс svchost.exe, обеспечивая скрытность присутствия вредоносного кода.
  • TOUGHPROGRESS – непосредственно выполняет вредоносные операции на заражённом устройстве.

Особое внимание привлекает способ запуска: встроенный Shellcode расшифровывается с помощью 16-байтового ключа XOR и распаковывает DLL-файл в памяти, используя алгоритм сжатия LZNT1.

Использование Google Calendar как канала управления и передачи данных

Ключевой особенностью TOUGHPROGRESS является механизм взаимодействия через Google Calendar:

  • Вредоносная программа создаёт события календаря с зашифрованными командами, которые затем извлекает для исполнения.
  • Результаты выполнения команд шифруются и отправляются обратно в календарь.
  • Для шифровки используется жестко встроенный 10-байтовый ключ исключения, а также отдельный 4-байтовый ключ для каждого сообщения.

Такой подход позволяет злоумышленникам скрывать свои действия среди легитимных операций сервиса Google, значительно снижая вероятность обнаружения.

Действия Google Threat Intelligence Group

В ответ на эту кампанию GTIG предприняла ряд проактивных мер по нейтрализации угрозы:

  • Созданы и внедрены сигнатуры для обнаружения вредоносного ПО TOUGHPROGRESS.
  • Демонтаж инфраструктуры, обеспечивающей атаку.
  • Обновление базы Google Safe Browsing с добавлением вредоносных доменов и URL.
  • В сотрудничестве с командой Mandiant FLARE проведён глубокий анализ и реинжиниринг протокола шифрования, используемого в кампании.
  • Пострадавшим организациям были переданы журналы сетевого трафика и сведения, способствующие обнаружению и реагированию на инциденты.

Контекст и предшествующий опыт APT41

Группа APT41 известна своими многообразными методами и инструментами, которые позволяют злоумышленникам эффективно сочетать вредоносные операции с использованием легитимных облачных сервисов и бесплатного веб-хостинга. Ранее они успешно эксплуатировали семейства вредоносных программ VOLDEMORT и DUSTTRAP.

Использование поддоменов Cloudflare Worker и средств сокращения URL-адресов позволяет APT41 сохранять анонимность и оперативно менять инфраструктуру атак, что представляет серьезную угрозу для различных секторов экономики по всему миру.

Выводы и рекомендации

Кампания с использованием TOUGHPROGRESS демонстрирует новые тенденции в эксплуатации легитимных облачных сервисов для командования и контроля вредоносным ПО, что существенно повышает сложность защиты. Организациям необходимо усилить:

  • Мониторинг сетевого трафика и журналов, уделяя особое внимание нестандартным взаимодействиям с облачными сервисами.
  • Программы проактивного обнаружения фишинговых кампаний и вредоносных вложений в электронной почте.
  • Обучение сотрудников основам информационной безопасности с акцентом на угрозы современного киберпространства.

Тщательный мониторинг и оперативное реагирование остаются ключевыми факторами для противодействия подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: