TOUGHPROGRESS-Malware: Die heimliche Bedrohung, die Google Kalender ausnutzt

Die versteckte Bedrohung aufdecken

Ende Oktober 2024 entdeckte die Threat Intelligence Group (GTIG) von Google eine hochentwickelte Schadsoftware namens TOUGHPROGRESS. Dieses von der staatlich geförderten chinesischen Gruppe APT41 entwickelte und eingesetzte Schadtool nutzt Google Kalender als unerwarteten Kanal für Command-and-Control-Kommunikation (C2). Auch wenn es beunruhigend klingt, kann das Verständnis der Funktionsweise dieser Schadsoftware und ihrer Bedeutung für die digitale Sicherheit Organisationen und Einzelpersonen gleichermaßen helfen, besser vorbereitet zu sein.

Was ist TOUGHPROGRESS?

TOUGHPROGRESS ist eine Malware-Variante, die Cloud-basierte Dienste für Cyberangriffe ausnutzt. Im Gegensatz zu herkömmlicher Malware, die auf verdächtige Server angewiesen sein kann, nutzt TOUGHPROGRESS die vertrauenswürdige Google Kalender- Plattform zum Senden und Empfangen von Befehlen. Dieser einzigartige Ansatz ermöglicht es Angreifern, sich in den legitimen Webverkehr einzufügen, was die Erkennung deutlich erschwert.

Die Malware selbst ist der Höhepunkt einer komplexen Angriffskette. Sie beginnt mit einer Spear-Phishing-E-Mail, die ein ZIP-Archiv enthält. Beim Öffnen präsentiert sich eine als harmloses PDF getarnte Windows-Verknüpfungsdatei. Der Start dieser Datei löst eine Kettenreaktion aus, an der mehrere Komponenten beteiligt sind, die nacheinander arbeiten und Befehle heimlich ausführen.

Funktionsweise der Malware

Die Infektionskette umfasst drei Phasen. Zunächst startet ein Entschlüsselungsmodul namens PLUSDROP den Prozess, indem es einen Second-Stage-Loader entschlüsselt. Anschließend schleust PLUSINJECT, der Second-Stage-Loader, Schadcode in einen legitimen Windows-Prozess ein, um die Erkennung weiter zu entgehen. Schließlich wird TOUGHPROGRESS als primäre Nutzlast eingesetzt.

Der cleverste Aspekt von TOUGHPROGRESS ist die Nutzung von Google Kalender für seine C2-Funktionen. Sobald es aktiv ist, liest und schreibt es Kalenderereignisse, um mit seinen Betreibern zu kommunizieren. Angreifer erstellen verschlüsselte Befehle in Kalenderereignissen, die die Malware dann abfragt und ausführt. Vom infizierten System gestohlene Daten werden in neue Kalenderereignisse zurückgeschrieben und stehen den Angreifern zur Extraktion zur Verfügung.

Wie Google Kalender missbraucht wird

Die Nutzung von Google Kalender als verdeckter Kanal ist ein Beispiel dafür, wie Angreifer bösartige Aktivitäten in die normale Webnutzung integrieren. Google Kalender ist ein vertrauenswürdiger und weit verbreiteter Dienst und damit ein ideales Werkzeug für Cyberkriminelle, um sich vor aller Augen zu verstecken. Die Angreifer nutzten diese Technik, indem sie gefälschte „Zero-Minute-Events“ mit verschlüsselten Befehlen und Daten erstellten. Für den flüchtigen Beobachter mag dies harmlos erscheinen – oder völlig unbemerkt bleiben.

Die Auswirkungen auf die Sicherheit

Die Enthüllung von TOUGHPROGRESS zeigt, wie kreativ Cyberkriminelle sein können, wenn sie bekannte Plattformen zu ihrem Vorteil nutzen. Da Cloud-Dienste wie Google Kalender so integraler Bestandteil alltäglicher Geschäfts- und Privatabläufe sind, müssen Unternehmen wachsam sein und den Missbrauch der Cloud als Teil ihrer Sicherheitsstrategie berücksichtigen.

Dieser Fall unterstreicht auch, wie wichtig das Bewusstsein der Benutzer ist. Da die Infektion mit einer Phishing-E-Mail beginnt, sind Mitarbeiterschulungen und die sorgfältige Prüfung unerwarteter Anhänge oder Links weiterhin wichtige Schutzmaßnahmen.

Wer steckt hinter dem Angriff?

APT41, die Gruppe, die TOUGHPROGRESS einsetzt, hat bereits in der Vergangenheit Organisationen aus verschiedenen Branchen ins Visier genommen, darunter Regierung, Schifffahrt, Medien und Technologie. APT41, auch unter anderen Namen wie Blackfly, Wicked Panda und Winnti bekannt, ist seit Jahren aktiv und setzt häufig fortschrittliche Tools und Techniken ein, um seine Ziele zu erreichen.

Frühere Kampagnen von APT41 umfassten andere Schadsoftware wie ANTSWORD, BLUEBEAM und DUSTPAN und zielten auf Unternehmen in Ländern wie Italien, Spanien und Großbritannien ab. Ihre Taktiken, zu denen häufig die Verwendung von Web-Shells und Spear-Phishing-Angriffen gehörten, spiegeln eine breite und anhaltende Bedrohung wider.

Maßnahmen ergreifen: Die Antwort von Google

Google reagierte umgehend auf die Entdeckung von TOUGHPROGRESS mit der Abschaltung des schädlichen Google Kalender-Kontos und der zugehörigen Workspace-Projekte und zerstörte damit die Infrastruktur der Angreifer. Obwohl das volle Ausmaß der Kampagne noch unklar ist, konnte durch diese Intervention die unmittelbare Bedrohung unterbunden werden.

Google benachrichtigte außerdem die betroffenen Organisationen und betonte, wie wichtig eine schnelle Erkennung und Reaktion zur Minimierung der Auswirkungen solcher Angriffe sei.

Ein Blick in die Zukunft

Das Aufkommen von TOUGHPROGRESS unterstreicht den wachsenden Bedarf an Cybersicherheitslösungen, die nicht nur traditionelle Angriffsmethoden, sondern auch den kreativen Missbrauch legitimer Dienste berücksichtigen. Da Cloud-Plattformen im Alltag immer wichtiger werden, muss sich auch ihre Sicherheit weiterentwickeln.

Sich über diese Bedrohungen zu informieren, ist ein wichtiger erster Schritt. TOUGHPROGRESS erinnert daran, dass Wachsamkeit, bewährte Sicherheitspraktiken und die Zusammenarbeit zwischen der Technologiebranche und den Anwendern entscheidend sind, um sich gegen diese immer raffinierteren Cyberbedrohungen zu schützen.

Bis Willa
May 30, 2025
Malware, News
Deutsch
May 30, 2025
Malware, News

Beliebte Beiträge

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 1 month

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 8 months

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 1 year

Die Bedrohung durch W32.AIDetectMalware verstehen und eindämmen

vor 11 months

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 12 months

Warum Benutzer überrascht sind, wenn sie die Almoristics-App...

vor 3 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.