Logiciel malveillant TOUGHPROGRESS : la menace furtive qui exploite Google Agenda
Table of Contents
Découvrir la menace cachée
Fin octobre 2024, le groupe de renseignement sur les menaces de Google (GTIG) a découvert un logiciel malveillant sophistiqué appelé TOUGHPROGRESS. Développé et exploité par le groupe APT41 , soutenu par l'État chinois, cet outil malveillant exploite Google Agenda comme un moyen inattendu de communication de commandement et de contrôle (C2). Bien que cela puisse paraître alarmant, comprendre le fonctionnement de ce logiciel malveillant et ses implications pour la sécurité numérique peut aider les organisations et les particuliers à mieux se préparer.
Qu'est-ce que TOUGHPROGRESS ?
TOUGHPROGRESS est une souche de malware conçue pour exploiter les services cloud afin de mener des cyberattaques. Contrairement aux malwares classiques qui s'appuient sur des serveurs suspects, TOUGHPROGRESS utilise la plateforme fiable Google Agenda pour envoyer et recevoir des commandes. Cette approche unique permet aux attaquants de se fondre dans le trafic web légitime, rendant la détection beaucoup plus difficile.
Le malware lui-même est l'aboutissement d'une chaîne d'attaque complexe. Il commence par un e-mail de spear-phishing contenant une archive ZIP qui, une fois ouverte, présente un fichier de raccourci Windows déguisé en PDF inoffensif. L'ouverture de ce fichier déclenche une réaction en chaîne impliquant plusieurs composants conçus pour fonctionner en séquence et exécuter des commandes furtivement.
Comment fonctionne le logiciel malveillant
La chaîne d'infection comprend trois étapes. Tout d'abord, un module de déchiffrement appelé PLUSDROP lance le processus en déchiffrant un chargeur de deuxième étape. Ensuite, PLUSINJECT, le chargeur de deuxième étape, injecte du code malveillant dans un processus Windows légitime pour échapper à la détection. Enfin, TOUGHPROGRESS est déployé, agissant comme charge utile principale.
L'aspect le plus astucieux de TOUGHPROGRESS réside dans son utilisation de Google Agenda pour ses fonctions C2. Une fois activé, il lit et écrit les événements du calendrier pour communiquer avec ses opérateurs. Les attaquants créent des commandes chiffrées dans les événements du calendrier, que le logiciel malveillant interroge et exécute ensuite. Les données volées au système infecté sont réécrites dans de nouveaux événements du calendrier, prêtes à être extraites par les attaquants.
Comment Google Agenda est utilisé à mauvais escient
L'utilisation de Google Agenda comme canal secret illustre la façon dont les attaquants s'adaptent pour intégrer une activité malveillante à une utilisation normale du web. Google Agenda est un service fiable et largement utilisé, ce qui en fait un outil idéal pour les cybercriminels qui souhaitent se cacher. Les attaquants ont utilisé cette technique en créant de faux « événements de dernière minute » avec des commandes et des données chiffrées. Pour un observateur non averti, cela peut paraître inoffensif, ou passer complètement inaperçu.
Les implications pour la sécurité
La révélation de TOUGHPROGRESS illustre la créativité des cybercriminels lorsqu'ils exploitent des plateformes familières à leur avantage. Les services cloud comme Google Agenda étant essentiels aux flux de travail professionnels et personnels quotidiens, les entreprises doivent être vigilantes et intégrer toute utilisation abusive du cloud à leur stratégie de sécurité.
Ce cas souligne également l'importance de la sensibilisation des utilisateurs. L'infection commençant par un e-mail d'hameçonnage, la formation des employés et l'examen attentif des pièces jointes ou des liens inattendus restent des mesures de protection essentielles.
Qui est derrière l'attaque ?
APT41, le groupe qui déploie TOUGHPROGRESS, cible depuis longtemps des organisations de divers secteurs, notamment le secteur public, le transport maritime, les médias et les technologies. Également connu sous d'autres noms comme Blackfly, Wicked Panda et Winnti, APT41 est actif depuis des années et utilise souvent des outils et des techniques avancés pour atteindre ses objectifs.
Les campagnes précédentes d'APT41 ont impliqué d'autres logiciels malveillants tels que ANTSWORD, BLUEBEAM et DUSTPAN, ciblant des entités dans des pays comme l'Italie, l'Espagne et le Royaume-Uni. Leurs tactiques, qui incluent souvent l'utilisation de shells Web et d'attaques de spear-phishing, reflètent une menace large et persistante.
Agir : la réponse de Google
La réponse rapide de Google à la découverte de TOUGHPROGRESS a été de fermer le compte Google Agenda malveillant et les projets Workspace associés, démantelant ainsi l'infrastructure des attaquants. Bien que l'ampleur de la campagne reste incertaine, cette intervention a permis de neutraliser la menace immédiate.
Google a également informé les organisations concernées, soulignant l’importance d’une détection et d’une réponse rapides pour minimiser l’impact de telles attaques.
Un regard vers l'avenir
L'émergence de TOUGHPROGRESS souligne le besoin croissant de solutions de cybersécurité prenant en compte non seulement les méthodes d'attaque traditionnelles, mais aussi l'utilisation abusive et créative de services légitimes. À mesure que les plateformes cloud deviennent de plus en plus essentielles au quotidien, leur sécurité doit évoluer en conséquence.
Connaître ces menaces est une première étape essentielle. TOUGHPROGRESS nous rappelle à point nommé que la vigilance, les bonnes pratiques de sécurité et la collaboration entre le secteur technologique et les utilisateurs sont essentielles pour se défendre contre ces cybermenaces de plus en plus sophistiquées.
