Çarşamba günü Google, APT41 olarak bilinen Çin devlet destekli tehdit aktörünün, komut ve kontrol (C2) için Google takvimini kullanan ToughProgress adlı bir kötü amaçlı yazılımdan yararlandığını açıkladı.
Ekim 2024’ün sonlarında faaliyeti keşfeden teknoloji devi, kötü amaçlı yazılımın tehlikeye atılmış bir hükümet web sitesinde barındırıldığını ve diğer birçok hükümet kuruluşunu hedeflemek için kullanıldığını söyledi.
Google Tehdit İstihbarat Grubu (GTIG) araştırmacısı Patrick Whitsell, “C2 için bulut hizmetlerinin kötüye kullanılması, birçok tehdit aktörünün meşru faaliyetlerle karışmak için yararlandığı bir tekniktir.” Dedi.
APT41, Axiom, Blackfly, Pirinç Typhoon (eski adıyla baryum), Bronz Atlas, Dünya Bakü, Hoodoo, Red Kelpie, TA415, Wicked Panda ve Winnti olarak izlenen, küresel nakliye ve logistics içindeki organizasyonlar için bilinen üretken bir ulus-devlet grubuna atanan isimdir ve medya, teknolojilerde bilinen, ve teknolojinin hedeflenmesi ve teknolojisi ve teknolojisi için bilinçli olarak bilinir.
Temmuz 2024’te Google, İtalya, İspanya, Tayvan, Tayland, Türkiye ve İngiltere’deki bu endüstri sektörlerinde faaliyet gösteren birkaç kuruluşun, Antsword, Bluebeam, DustPan ve Dusttrap gibi web mermilerinin ve damlaların bir kombinasyonunu kullanarak “sürekli bir kampanya” tarafından hedeflendiğini açıkladı.
Daha sonra bu yılın başlarında, APT41 şemsiyesi içindeki bir alt küme, Mart 2024’te Revivalstone olarak adlandırılan bir kampanyanın bir parçası olarak üretim, malzeme ve enerji sektörlerinde Japon şirketlerine saldıran olarak tanımlandı.
Google tarafından belgelenen en son saldırı zinciri, sömürülen hükümet web sitesinde barındırılan bir fermuar arşivine bağlantı içeren mızrak-aktarma e-postaları göndermeyi içerir. ZIP dosyası, bir PDF belgesi olarak maskelenen bir dizin ve bir Windows kısayolu (LNK) içerir. Dizin, yedi farklı eklembacaklı görüntüsü gibi görünen (“1.jpg” ile “7.jpg”).
Enfeksiyon, LNK dosyası başlatıldığında başlar ve alıcıya dizinden çekilen türlerin ihracat için bildirilmesi gerektiğini belirten bir tuzak PDF’nin sunulmasına neden olur. Ancak, “6.jpg” ve “7.jpg” nin sahte görüntüler olduğunu belirtmek gerekir.
“İlk dosya aslında şifrelenmiş bir yüktür ve hedef LNK’yı tıkladığında başlatılan bir DLL dosyası olan ikinci dosya tarafından şifrelenir.
Kötü amaçlı yazılım, her biri seri olarak dağıtılan ve belirli bir işlevi yerine getirmek üzere tasarlanmış üç farklı bileşenden oluşur –
- Plusdrop, DLL, hafızadaki bir sonraki aşamayı şifresini çözmek ve yürütmek için kullanılır
- Son yükü enjekte etmek için meşru bir “svchost.exe” işleminde süreç oyalamasını başlatan ve gerçekleştiren PlusInject
- ToughProgress, C2 için Google takvimini kullanan birincil kötü amaçlı yazılım
Kötü amaçlı yazılım, saldırgan kontrollü bir Google takvimiyle etkinlikleri okumak ve yazmak için tasarlanmıştır ve hasat edilen verileri olay açıklamasında saklamak için sert kodlanmış bir tarihte (2023-05-30) sıfır dakikalık bir etkinlik oluşturur.
Operatörler, 30 ve 31 Temmuz 2023 tarihlerinde, daha sonra kötü amaçlı yazılımlar tarafından yok edilen, tehlikeye giren, uzlaştırılmış Windows ana bilgisayarında yürütülen ve saldırganlar tarafından çıkarılabilecekleri başka bir takvim etkinliğine yazılan sonuçlar ile şifrelenmiş komutlar yerleştirir.
Google, kötü amaçlı Google takvimini düşürme adımını attığını ve ilgili çalışma alanı projelerini sonlandırdığını ve böylece kampanyanın tamamını etkisiz hale getirdiğini söyledi. Ayrıca, etkilenen kuruluşların bilgilendirildiğini söyledi. Kampanyanın kesin ölçeği belirsizdir.
Bu, APT41’in Google’ın hizmetlerini ilk kez avantajı için silahlandırmamıştır. Nisan 2023’te Google, tehdit oyuncunun, Google Drive’da barındırılan şifre korumalı dosyalar aracılığıyla teslim edilen Google Komut ve Kontrolü (GC2) olarak bilinen GO tabanlı açık kaynaklı bir kırmızı ekip oluşturma aracı sunmak için isimsiz bir Tayvan medya organizasyonunu hedeflediğini açıkladı.
Yüklendikten sonra GC2, Google sayfalarından komutları okumak ve bulut depolama hizmetini kullanarak verileri eklemek için bir arka kapı görevi görür.