Хакеры APT41 маскируют вредоносную активность под события Google Calendar, ускользая от систем защиты

Группа киберпреступников APT41, действующая с территории Китая, внедрила в арсенал новую разработку — вредоносный код, получивший название «ToughProgress». Программа использует календарный сервис Google в качестве канала управления и обратной связи, что позволяет скрывать цифровой трафик среди легитимных запросов.

Об этом сообщили специалисты Threat Intelligence Group корпорации Google, зафиксировавшие аномальную активность и принявшие меры для прекращения дальнейшего использования корпоративной экосистемы в преступных целях.

В отчёте указано, что кибератака стартует с рассылки писем, в которых содержится ссылка на архивный файл формата ZIP, размещённый на скомпрометированном правительственном ресурсе. Внутри архива — фальшивый ярлык LNK под видом PDF-документа, файл с расширением JPG, в действительности представляющий собой зашифрованный исполняемый код, и маскируемый DLL-компонент, активирующий вредоносную цепочку при попытке открыть файл.

Эксперты Google уточнили, что запускаемый механизм включает в себя «PlusDrop» — модуль расшифровки, выполняющий следующий этап — «PlusInject», размещаемый исключительно в оперативной памяти. Этот компонент внедряется в процесс «svhost.exe», после чего передаёт управление «ToughProgress».

Финальный модуль устанавливает связь с конкретным календарным профилем, опрашивая метки событий, созданные злоумышленниками. Инструкции закладываются в поля описания и подгружаются в систему жертвы при каждом синхронизированном обращении. Ответные данные отсылаются в новые записи календаря, что позволяет атакующим отслеживать исполнение и адаптировать последующие действия.

Специалисты также напомнили, что подобная техника не уникальна. В начале 2024 года компания Veracode сообщала о вредоносных скриптах в NPM-репозитории, использующих схожую схему связи через сервисы Google. Кроме того, APT41 уже фигурировала в инциденте с использованием Google Таблиц и Google Диска во время кампании «Волдеморт» весной прошлого года.

На фоне того, что ни один из элементов вредоносной схемы не записывается на диск и всё взаимодействие осуществляется через общедоступные инструменты Google Workspace, стандартные антивирусные системы оказываются неэффективными. Специалисты Google подчёркивают необходимость пересмотра стратегий безопасности и акцентируют внимание на важности анализа поведения приложений, работающих в оперативной памяти.