Apt Hackers Google Takvimini ToughProgress Kötü Yazılımlarını kullanarak Komut Hub’a dönüştürün, Google Uyarıları


“ToughProgress” adlı sofistike bir kötü amaçlı yazılım kampanyası olan Google Tehdit İstihbarat Grubu (GTIG), Hoodoo olarak da bilinen kötü şöhretli PRC tabanlı tehdit aktörü APT41 tarafından düzenlendi.

Ekim 2024’ün sonlarında belirlenen bu kampanya, kötü amaçlı yazılım dağıtmak için uzlaşmış bir hükümet web sitesinden yararlanarak Google takvimini, uzlaşmış sistemleri yönetmek için bir komut ve kontrol (C2) merkezi olarak kullanıyor.

ToughProgress kötü amaçlı yazılım
ToughProgress Kampanyası Genel Bakış

Yenilikçi kötü amaçlı yazılım Google Takviminden yararlanır

Küresel nakliye, medya, teknoloji ve otomotiv endüstrileri de dahil olmak üzere çok çeşitli sektörü hedeflediği için bilinen APT41, bir kez daha kötü niyetli faaliyetleri meşru hizmetlerle harmanlamak için ustalığını göstererek tespiti siber güvenlik ekipleri için önemli bir zorluk haline getirdi.

– Reklamcılık –
Google Haberleri

ToughProgress kampanyası, kurbanları sömürülen hükümet sitesinden kötü niyetli bir fermuar arşivi indirmeye çeken mızrak aktı e-postalarıyla başlar.

Bu arşiv, ikisi (6.jpg ”ve“ 7.jpg ”) aldatıcı JPG görüntüleri eşliğinde PDF olarak gizlenmiş bir LNK dosyası içerir.

Tutturma Saldırı Zincirinin Diseksiyonu

Yürütme üzerine, kötü amaçlı yazılım, sadece bellek yükleri, meşru “svchost.exe” süreçlerinde işleme işlemesi ve sicil tabanlı dolaylı çağrılar ve 64 bitlik kayıt overflow kullanılarak karmaşık kontrol akışı sersemletme gibi gelişmiş kaçaklama tekniklerini kullanan üç aşamada plusdrop, PlusInject ve ToughProgress’in kendisi.

Son aşama olan ToughProgress, daha sonraki tarihlerdeki komutları yok ederken, tehlikeye atılmış ana bilgisayarlardan şifreli verileri yaymak için 30 Mayıs 2023 gibi sert kodlanmış tarihlerde sıfır dakikalık etkinlikler oluşturarak Google takvimiyle arayüz oluşturuyor.

ToughProgress kötü amaçlı yazılım
ToughProgress tarafından oluşturulan bir takvim olayı örneği

Rapora göre, GTIG, Mantiant Flare ile işbirliği içinde, C2 şifreleme protokolünü tersine mühendislik yaptı ve LZNT1 sıkıştırma ve çift XOR anahtar şifrelemesini içeren katmanlı bir yaklaşımı ortaya koydu.

Yanıt olarak Google, özel algılama imzaları geliştirerek, saldırgan kontrollü çalışma alanı projelerini sökerek, güvenli tarama blok listelerini güncelleyerek ve etkilenen kuruluşları kritik tehdit istihbaratıyla bilgilendirerek kampanyayı hızla bozdu.

Bu proaktif duruş, Google’ın çalışma alanı uygulamalarını tarihsel olarak kötüye kullanmalarında ve Voldemort ve Dusttrap gibi son kampanyalarda görüldüğü gibi APT41’in kalıcı yaratıcılığına karşı koyma taahhüdünün altını çiziyor.

Uzlaşma Göstergeleri (IOCS)

Tip İsim/Açıklama Değer (SHA256 / MD5 veya Domain / URL)
Dosya karma Gümrük Deklarasyon Çıkış Listesi.ZIP 46B534BEC827BE03C0823E72E7B4DA0B84F53199040705DA203986EF154406A / 876FB1B0275A653C4210AAF01C2698ECEP
Dosya karma Öğe Listesi.PDF.LNK 3B88B3EFBDC86383E9738C92026B8931CE1C13CD75CD1CDA2FA302791CF171A5A779BC5EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEY
Dosya karma 6.jpg 50124174A4AC0D65BFF8B6FD66F53829D1589EDC73AA7CF36502E57AA5513360 / 1CA60E207EDB211C8B956EF35043B6
Dosya karma 7.jpg 151257E9DFDA476CDAFD98326AD325104D72A66F9265CAA8417A5FE1DF5D7 / 2C4EEABB8F6C2970DCBFDDCDDD60E3
İhtisas Cloudflare çalışanları kelime[.]MSAPP[.]işçi[.]Dev, bulut[.]MSAPP[.]işçi[.]dev
İhtisas Trycloudflare Restore-Tatilised-Step[.]Trycloudflare[.]com, yollar-SMS-PMC hisse senedi[.]Trycloudflare[.]com
İhtisas Sonsuz kaynak[.]InfinityFreeApp[.]com, barlar[.]InfinityFreeApp[.]com
URL kısaltma Çeşitli HTTPS[:]// tuvalet[.]CC/6Deku, HTTPS[:]// tinyurl[.]com/hycev3y7, https[:]// my5353[.]com/nwytf, vb.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link