Çin devlet destekli tehdit oyuncusu APT41’in yakın tarihli bir kampanyası, kötü amaçlı yazılım komut ve kontrol (C2) operasyonları için Google takviminin yeni bir sömürüsünü tanıttı ve siber boyama taktiklerinde önemli bir artış gösterdi.
Baryum ve pirinç typhoon da dahil olmak üzere takma adlar altında izlenen grup, Tayvan hükümet kuruluşlarını, spearphing, görüntü tabanlı yük dağıtımını ve gizli C2’yi yaygın olarak güvenilir bulut hizmetleri aracılığıyla birleştiren çok aşamalı bir saldırı zinciri aracılığıyla hedefledi.
Geleneksel tespit mekanizmalarından kaçınmak için tasarlanmış sofistike bir iş akışını ortaya koyan, tehlikeye atılmış bir hükümet web sitesinin adli analizi sırasında kampanya.
.png
)
Saldırı, “İhracat Gümrük Bildirimi Listesi.ZIP” etiketli zip arşivlerini dağıtan spearphishing e -postalarıyla başlar.
Resculity araştırmacıları, içinde kurbanların bir PDF (“申報物品清單 .pdf.lnk”) ve yedi dosya içeren bir görüntü klasörü olarak görünen bir kısayol LNK dosyasıyla karşılaştıklarını belirlediler.
Dosyalar 1-5 meşru eklembacaklı örnekler gösterirken, 6.jpg ve 7.jpg Liman Şifreli kötü amaçlı yazılım bileşenleri. Yürütüldüğünde, LNK dosyası, APT41’in ToughProgress kötü amaçlı yazılım paketini sessizce dağıtarken dışa aktarma düzenlemeleri hakkında bir tuzak PDF görüntüler.
.webp)
Bu üç modüllü çerçeve-Plusdrop, PlusInject ve ToughProgress-kalıcılığı korumak için bellek sakini yürütme, proses oyma ve bulut tabanlı C2’yi saklar.
Resculity analistleri, kampanyanın yeniliğinin, çift yönlü iletişim için Google takvim etkinliklerini kötüye kullanmasında olduğunu belirtti. Geleneksel C2 sunucularından farklı olarak, bu yaklaşım kötü amaçlı trafiği meşru Google Workspace API istekleriyle harmanlayarak ağ tabanlı algılamayı karmaşıklaştırır.
.webp)
Taktikler, teknikler ve prosedürler (TTP’ler), ilk erişimi (T1566.001) pessfiltrasyona (T1041) kapsayan 14 farklı general ATT & CK girişine eşler.
Google Takvim Olay Manipülasyonu aracılığıyla gizli C2 Altyapısı
ToughProgress modülü, 2023 yılına dayanan Google takvim etkinlikleri oluşturarak, olay açıklamalarına AES ile şifreli komutları yerleştirerek kalıcılık oluşturur.
Kötü amaçlı yazılım, OAUTH2 jetonlarını kullanarak bu olayları periyodik olarak kontrol ederek meşru takvim senkronizasyon davranışını taklit eder.
Komutlar, sabit kodlu bir anahtar (XOR işlemlerinde 0x7D) kullanılarak şifre çözülür ve enjekte edilen svchost.exe işlemleri ile yürütülür.
// Sample decryption routine for calendar event data
void decrypt_payload(char* encrypted_data, size_t len) {
const char KEY = 0x7D;
for (size_t i = 0; i < len; i++) {
encrypted_data[i] ^= KEY;
}
}Yürütme sonuçları, görünüşte iyi huylu açıklamalara eklenen Base64 kodlu çıktı ile yeni takvim olayları oluşturarak ortaya çıkarılır.
Örneğin, “Bütçe Toplantısı Q3” başlıklı bir olay, açıklama alanında söndürülmüş kayıt defteri verileri içerebilir.
Bu teknik, Google hizmetlerinin güvenilirliğinden yararlanır - kurumsal güvenlik duvarlarının% 76'sı beyaz liste *.google.com alan adları.
Kötü amaçlı yazılım, dinamik olarak oluşturulan CloudFlare çalışanları alt alanlarını kullanarak C2 desenlerini daha da gizler (*.TryCloudFlare[.]com) proxy röleleri olarak.
Bu alanlar, kurşun geçirmez barındırmayı meşru bulut hizmetleriyle harmanlayan hibrit bir altyapı oluşturarak Google Takvim API uç noktalarına karar verir.
Uzlaşmanın temel göstergeleri (IOCS), kötü amaçlı 6.jpg (SHA-256: 50124174A4AC0D65BF8B6FD66F538829D1589EDC7AA5513333660) ve 7.jpg dosyalarını içerir.
Bellek analizi, aşağıdakiler gibi imza kaçırma tekniklerini ortaya çıkarır:-
- Api karma: Gibi kritik işlevler
LdrLoadDlldoğrudan ithalat yerine özel karma algoritmalar yoluyla çözülür - Bölüm Stoming: Kötü amaçlı yazılım üzerine yazıyor.
- Shimcache manipülasyonu: Kötü niyetli dosyaların zaman damgaları, sistem ikili dosyalarını eşleştirecek şekilde taklit edilir
; Example of API hashing for kernel32!CreateProcessA
mov edi, 0x8F1D8844 ; Precomputed hash value
call resolve_api_by_hash
test eax, eax
jz error_handlerSavunucular, *.googleapis.com/calendar/v3'e açık bağlantıları olan anormal svchost.exe örneklerini izlemeli ve takvim olay meta verilerini baz64 blobları için incelemelidir.
Resculity, Rundll32.exe için uygulama izin verilmesinin uygulanmasını ve benzer kampanyaları azaltmak için Google Çalışma API izinlerinin kısıtlanmasını önerir.
Bu işlem, APT41'in kullanıcılar, yazılım ve bulut sağlayıcıları arasındaki güven ilişkilerini kullanma konusundaki sürekli evrimini göstermektedir.
Jeopolitik gerginlikler arttıkça, bu tür hibrid C2 mekanizmaları, makul inkar edilebilirlik arayan devlete uyumlu tehdit aktörleri arasında çoğalacaktır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği