Kenkėjiška programa „TOUGHPROGRESS“: slapta grėsmė, išnaudojanti „Google“ kalendorių
Table of Contents
Paslėptos grėsmės atskleidimas
2024 m. spalio pabaigoje „Google“ grėsmių žvalgybos grupė (GTIG) atskleidė sudėtingą kenkėjišką programą, vadinamą TOUGHPROGRESS. Šią kenkėjišką priemonę, sukurtą ir naudojančią Kinijos valstybės remiama grupė APT41 , „Google“ kalendorius naudoja kaip netikėtą komandų ir kontrolės (C2) ryšio priemonę. Nors tai gali skambėti nerimą keliančiai, supratimas, kaip ši kenkėjiška programa veikia ir ką ji reiškia skaitmeniniam saugumui, gali padėti tiek organizacijoms, tiek asmenims geriau pasiruošti.
Kas yra „TOUGHPROGRESS“?
„TOUGHPROGRESS“ yra kenkėjiškų programų atmaina, sukurta išnaudoti debesijos paslaugas kibernetinėms atakoms vykdyti. Skirtingai nuo įtartinų serverių, „TOUGHPROGRESS“ naudoja patikimą „Google“ kalendoriaus platformą komandoms siųsti ir gauti. Šis unikalus metodas leidžia užpuolikams įsilieti į teisėtą interneto srautą, todėl aptikimas tampa daug sudėtingesnis.
Pati kenkėjiška programa yra sudėtingos atakų grandinės kulminacija. Ji prasideda nuo tikslinio sukčiavimo el. laiško, kuriame yra ZIP archyvas, kurį atidarius pateikiamas „Windows“ sparčiųjų klavišų failas, užmaskuotas kaip nekenksmingas PDF failas. Paleidus šį failą, prasideda grandininė reakcija, apimanti kelis komponentus, skirtus veikti nuosekliai ir slapta vykdyti komandas.
Kaip veikia kenkėjiška programa
Užkrėtimo grandinė susideda iš trijų etapų. Pirma, iššifravimo modulis, vadinamas PLUSDROP, pradeda procesą iššifruodamas antrojo etapo įkrovos programą. Toliau PLUSINJECT, antrojo etapo įkrovos programa, įterpia kenkėjišką kodą į teisėtą „Windows“ procesą, kad dar labiau išvengtų aptikimo. Galiausiai diegiama TOUGHPROGRESS, kuri veikia kaip pagrindinė naudingoji apkrova.
Išmaniausias „TOUGHPROGRESS“ aspektas yra „Google“ kalendoriaus naudojimas C2 funkcijoms. Kai sistema tampa aktyvi, ji skaito ir rašo kalendoriaus įvykius, kad galėtų bendrauti su operatoriais. Užpuolikai kalendoriaus įvykiuose sukuria užšifruotas komandas, kurias kenkėjiška programa apklausia ir vykdo. Iš užkrėstos sistemos pavogti duomenys įrašomi atgal į naujus kalendoriaus įvykius, iš kurių užpuolikai gali juos išgauti.
Kaip netinkamai naudojamas „Google“ kalendorius
„Google“ kalendoriaus naudojimas kaip slapto kanalo yra pavyzdys, kaip užpuolikai prisitaiko įtraukti kenkėjišką veiklą į įprastą interneto naudojimą. „Google“ kalendorius yra patikima, plačiai naudojama paslauga, todėl tai puiki priemonė kibernetiniams nusikaltėliams pasislėpti matomoje vietoje. Užpuolikai šią techniką naudojo kurdami netikrus „nulinės minutės įvykius“ su užšifruotomis komandomis ir duomenimis. Atsitiktiniam stebėtojui tai gali atrodyti nekenksminga arba gali likti visiškai nepastebėta.
Poveikis saugumui
„TOUGHPROGRESS“ atskleidimas rodo, kokie kūrybingi gali būti kibernetiniai nusikaltėliai, naudodamiesi pažįstamomis platformomis. Kadangi debesijos paslaugos, tokios kaip „Google“ kalendorius, yra neatsiejama kasdienio verslo ir asmeninio darbo eigos dalis, organizacijos turi būti budrios ir atsižvelgti į debesijos paslaugų netinkamą naudojimą kaip savo saugumo strategijos dalį.
Šis atvejis taip pat pabrėžia vartotojų informuotumo svarbą. Kadangi užkrėtimas prasideda nuo sukčiavimo el. laiško, darbuotojų mokymas ir kruopštus netikėtų priedų ar nuorodų tikrinimas išlieka pagrindinėmis gynybos priemonėmis.
Kas stovi už atakos?
APT41, grupė, diegianti TOUGHPROGRESS, jau seniai taikosi į organizacijas iš įvairių pramonės šakų, įskaitant valdžios, laivybos, žiniasklaidos ir technologijų sektorius. APT41, dar žinoma kitais pavadinimais, tokiais kaip „Blackfly“, „Wicked Panda“ ir „Winnti“, veikia jau daugelį metų, dažnai naudodama pažangius įrankius ir metodus savo tikslams pasiekti.
Ankstesnėse APT41 kampanijose buvo naudojamos kitos kenkėjiškos programos, tokios kaip ANTSWORD, BLUEBEAM ir DUSTPAN, nukreiptos prieš subjektus tokiose šalyse kaip Italija, Ispanija ir Jungtinė Karalystė. Jų taktika, kuri dažnai apima žiniatinklio apvalkalų ir tikslinių sukčiavimo atakų naudojimą, atspindi plačią ir nuolatinę grėsmę.
Veiksmai: „Google“ atsakas
„Google“ greitai reagavo į „TOUGHPROGRESS“ atskleidimą uždarydama kenkėjišką „Google“ kalendoriaus paskyrą ir susijusius „Workspace“ projektus, taip išardydama užpuolikų infrastruktūrą. Nors visas kampanijos mastas lieka neaiškus, ši intervencija nutraukė tiesioginę grėsmę.
„Google“ taip pat pranešė paveiktoms organizacijoms, pabrėždama greito aptikimo ir reagavimo svarbą siekiant sumažinti tokių išpuolių poveikį.
Žvilgsnis į priekį
„TOUGHPROGRESS“ atsiradimas pabrėžia augantį kibernetinio saugumo sprendimų, kurie atsižvelgtų ne tik į tradicinius atakų metodus, bet ir į kūrybišką teisėtų paslaugų piktnaudžiavimą, poreikį. Debesų kompiuterijos platformoms tampant vis svarbesniu kasdienio gyvenimo elementu, jų saugumas turi vystytis kartu su kitais.
Susipažinimas su šiomis grėsmėmis yra svarbus pirmas žingsnis. „TOUGHPROGRESS“ laiku primena, kad budrumas, geriausia saugumo praktika ir bendradarbiavimas tarp technologijų pramonės ir vartotojų yra labai svarbūs siekiant apsiginti nuo šių vis sudėtingesnių kibernetinių grėsmių.
