Apt Hackers Google Takvimini ToughProgress Kötü Yazılımlarını kullanarak Komut Hub’a dönüştürün, Google Uyarıları


“ToughProgress” adlı sofistike bir kötü amaçlı yazılım kampanyası olan Google Tehdit İstihbarat Grubu (GTIG), Hoodoo olarak da bilinen kötü şöhretli PRC tabanlı tehdit aktörü APT41 tarafından düzenlendi.

Ekim 2024’ün sonlarında belirlenen bu kampanya, kötü amaçlı yazılım dağıtmak için uzlaşmış bir hükümet web sitesinden yararlanarak Google takvimini, uzlaşmış sistemleri yönetmek için bir komut ve kontrol (C2) merkezi olarak kullanıyor.

ToughProgress kötü amaçlı yazılım
ToughProgress Kampanyası Genel Bakış

Yenilikçi kötü amaçlı yazılım Google Takviminden yararlanır

Küresel nakliye, medya, teknoloji ve otomotiv endüstrileri de dahil olmak üzere çok çeşitli sektörü hedeflediği için bilinen APT41, bir kez daha kötü niyetli faaliyetleri meşru hizmetlerle harmanlamak için ustalığını göstererek tespiti siber güvenlik ekipleri için önemli bir zorluk haline getirdi.

– Reklamcılık –
Google Haberleri

ToughProgress kampanyası, kurbanları sömürülen hükümet sitesinden kötü niyetli bir fermuar arşivi indirmeye çeken mızrak aktı e-postalarıyla başlar.

Bu arşiv, ikisi (6.jpg ”ve“ 7.jpg ”) aldatıcı JPG görüntüleri eşliğinde PDF olarak gizlenmiş bir LNK dosyası içerir.

Tutturma Saldırı Zincirinin Diseksiyonu

Yürütme üzerine, kötü amaçlı yazılım, sadece bellek yükleri, meşru “svchost.exe” süreçlerinde işleme işlemesi ve sicil tabanlı dolaylı çağrılar ve 64 bitlik kayıt overflow kullanılarak karmaşık kontrol akışı sersemletme gibi gelişmiş kaçaklama tekniklerini kullanan üç aşamada plusdrop, PlusInject ve ToughProgress’in kendisi.

Son aşama olan ToughProgress, daha sonraki tarihlerdeki komutları yok ederken, tehlikeye atılmış ana bilgisayarlardan şifreli verileri yaymak için 30 Mayıs 2023 gibi sert kodlanmış tarihlerde sıfır dakikalık etkinlikler oluşturarak Google takvimiyle arayüz oluşturuyor.

ToughProgress kötü amaçlı yazılım
ToughProgress tarafından oluşturulan bir takvim olayı örneği

Rapora göre, GTIG, Mantiant Flare ile işbirliği içinde, C2 şifreleme protokolünü tersine mühendislik yaptı ve LZNT1 sıkıştırma ve çift XOR anahtar şifrelemesini içeren katmanlı bir yaklaşımı ortaya koydu.

Yanıt olarak Google, özel algılama imzaları geliştirerek, saldırgan kontrollü çalışma alanı projelerini sökerek, güvenli tarama blok listelerini güncelleyerek ve etkilenen kuruluşları kritik tehdit istihbaratıyla bilgilendirerek kampanyayı hızla bozdu.

Bu proaktif duruş, Google’ın çalışma alanı uygulamalarını tarihsel olarak kötüye kullanmalarında ve Voldemort ve Dusttrap gibi son kampanyalarda görüldüğü gibi APT41’in kalıcı yaratıcılığına karşı koyma taahhüdünün altını çiziyor.

Uzlaşma Göstergeleri (IOCS)

Tipİsim/AçıklamaDeğer (SHA256 / MD5 veya Domain / URL)
Dosya karmaGümrük Deklarasyon Çıkış Listesi.ZIP46B534BEC827BE03C0823E72E7B4DA0B84F53199040705DA203986EF154406A / 876FB1B0275A653C4210AAF01C2698ECEP
Dosya karmaÖğe Listesi.PDF.LNK3B88B3EFBDC86383E9738C92026B8931CE1C13CD75CD1CDA2FA302791CF171A5A779BC5EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEY
Dosya karma6.jpg50124174A4AC0D65BFF8B6FD66F53829D1589EDC73AA7CF36502E57AA5513360 / 1CA60E207EDB211C8B956EF35043B6
Dosya karma7.jpg151257E9DFDA476CDAFD98326AD325104D72A66F9265CAA8417A5FE1DF5D7 / 2C4EEABB8F6C2970DCBFDDCDDD60E3
İhtisasCloudflare çalışanlarıkelime[.]MSAPP[.]işçi[.]Dev, bulut[.]MSAPP[.]işçi[.]dev
İhtisasTrycloudflareRestore-Tatilised-Step[.]Trycloudflare[.]com, yollar-SMS-PMC hisse senedi[.]Trycloudflare[.]com
İhtisasSonsuzkaynak[.]InfinityFreeApp[.]com, barlar[.]InfinityFreeApp[.]com
URL kısaltmaÇeşitliHTTPS[:]// tuvalet[.]CC/6Deku, HTTPS[:]// tinyurl[.]com/hycev3y7, https[:]// my5353[.]com/nwytf, vb.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link