“ToughProgress” adlı sofistike bir kötü amaçlı yazılım kampanyası olan Google Tehdit İstihbarat Grubu (GTIG), Hoodoo olarak da bilinen kötü şöhretli PRC tabanlı tehdit aktörü APT41 tarafından düzenlendi.
Ekim 2024’ün sonlarında belirlenen bu kampanya, kötü amaçlı yazılım dağıtmak için uzlaşmış bir hükümet web sitesinden yararlanarak Google takvimini, uzlaşmış sistemleri yönetmek için bir komut ve kontrol (C2) merkezi olarak kullanıyor.
Yenilikçi kötü amaçlı yazılım Google Takviminden yararlanır
Küresel nakliye, medya, teknoloji ve otomotiv endüstrileri de dahil olmak üzere çok çeşitli sektörü hedeflediği için bilinen APT41, bir kez daha kötü niyetli faaliyetleri meşru hizmetlerle harmanlamak için ustalığını göstererek tespiti siber güvenlik ekipleri için önemli bir zorluk haline getirdi.
.png
)
ToughProgress kampanyası, kurbanları sömürülen hükümet sitesinden kötü niyetli bir fermuar arşivi indirmeye çeken mızrak aktı e-postalarıyla başlar.
Bu arşiv, ikisi (6.jpg ”ve“ 7.jpg ”) aldatıcı JPG görüntüleri eşliğinde PDF olarak gizlenmiş bir LNK dosyası içerir.
Tutturma Saldırı Zincirinin Diseksiyonu
Yürütme üzerine, kötü amaçlı yazılım, sadece bellek yükleri, meşru “svchost.exe” süreçlerinde işleme işlemesi ve sicil tabanlı dolaylı çağrılar ve 64 bitlik kayıt overflow kullanılarak karmaşık kontrol akışı sersemletme gibi gelişmiş kaçaklama tekniklerini kullanan üç aşamada plusdrop, PlusInject ve ToughProgress’in kendisi.
Son aşama olan ToughProgress, daha sonraki tarihlerdeki komutları yok ederken, tehlikeye atılmış ana bilgisayarlardan şifreli verileri yaymak için 30 Mayıs 2023 gibi sert kodlanmış tarihlerde sıfır dakikalık etkinlikler oluşturarak Google takvimiyle arayüz oluşturuyor.
Rapora göre, GTIG, Mantiant Flare ile işbirliği içinde, C2 şifreleme protokolünü tersine mühendislik yaptı ve LZNT1 sıkıştırma ve çift XOR anahtar şifrelemesini içeren katmanlı bir yaklaşımı ortaya koydu.
Yanıt olarak Google, özel algılama imzaları geliştirerek, saldırgan kontrollü çalışma alanı projelerini sökerek, güvenli tarama blok listelerini güncelleyerek ve etkilenen kuruluşları kritik tehdit istihbaratıyla bilgilendirerek kampanyayı hızla bozdu.
Bu proaktif duruş, Google’ın çalışma alanı uygulamalarını tarihsel olarak kötüye kullanmalarında ve Voldemort ve Dusttrap gibi son kampanyalarda görüldüğü gibi APT41’in kalıcı yaratıcılığına karşı koyma taahhüdünün altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | İsim/Açıklama | Değer (SHA256 / MD5 veya Domain / URL) |
|---|---|---|
| Dosya karma | Gümrük Deklarasyon Çıkış Listesi.ZIP | 46B534BEC827BE03C0823E72E7B4DA0B84F53199040705DA203986EF154406A / 876FB1B0275A653C4210AAF01C2698ECEP |
| Dosya karma | Öğe Listesi.PDF.LNK | 3B88B3EFBDC86383E9738C92026B8931CE1C13CD75CD1CDA2FA302791CF171A5A779BC5EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEY |
| Dosya karma | 6.jpg | 50124174A4AC0D65BFF8B6FD66F53829D1589EDC73AA7CF36502E57AA5513360 / 1CA60E207EDB211C8B956EF35043B6 |
| Dosya karma | 7.jpg | 151257E9DFDA476CDAFD98326AD325104D72A66F9265CAA8417A5FE1DF5D7 / 2C4EEABB8F6C2970DCBFDDCDDD60E3 |
| İhtisas | Cloudflare çalışanları | kelime[.]MSAPP[.]işçi[.]Dev, bulut[.]MSAPP[.]işçi[.]dev |
| İhtisas | Trycloudflare | Restore-Tatilised-Step[.]Trycloudflare[.]com, yollar-SMS-PMC hisse senedi[.]Trycloudflare[.]com |
| İhtisas | Sonsuz | kaynak[.]InfinityFreeApp[.]com, barlar[.]InfinityFreeApp[.]com |
| URL kısaltma | Çeşitli | HTTPS[:]// tuvalet[.]CC/6Deku, HTTPS[:]// tinyurl[.]com/hycev3y7, https[:]// my5353[.]com/nwytf, vb. |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!