Вредоносное ПО TOUGHPROGRESS: скрытая угроза, использующая Google Calendar
Table of Contents
Раскрытие скрытой угрозы
В конце октября 2024 года группа по анализу угроз Google (GTIG) обнаружила сложную вредоносную программу, известную как TOUGHPROGRESS. Разработанная и используемая китайской государственной группой APT41 , эта вредоносная программа использует Google Calendar как неожиданный способ связи командования и управления (C2). Хотя это может показаться тревожным, понимание того, как работает эта вредоносная программа и что она означает для цифровой безопасности, может помочь организациям и отдельным лицам лучше подготовиться.
Что такое TOUGHPROGRESS?
TOUGHPROGRESS — это вредоносное ПО, разработанное для использования облачных сервисов для проведения кибератак. В отличие от типичного вредоносного ПО, которое может полагаться на подозрительные серверы, TOUGHPROGRESS использует надежную платформу Google Calendar для отправки и получения команд. Этот уникальный подход позволяет злоумышленникам смешиваться с легитимным веб-трафиком, что значительно усложняет обнаружение.
Сама вредоносная программа является кульминацией сложной цепочки атак. Она начинается с фишингового письма, содержащего ZIP-архив, который при открытии представляет собой файл ярлыка Windows, замаскированный под безобидный PDF. Запуск этого файла запускает цепную реакцию, включающую несколько компонентов, разработанных для последовательной работы и скрытного выполнения команд.
Как работает вредоносное ПО
Цепочка заражения состоит из трех этапов. Сначала модуль дешифрования PLUSDROP запускает процесс, расшифровывая загрузчик второго этапа. Затем PLUSINJECT, загрузчик второго этапа, внедряет вредоносный код в легитимный процесс Windows, чтобы еще больше избежать обнаружения. Наконец, развертывается TOUGHPROGRESS, выступающий в качестве основной полезной нагрузки.
Самым умным аспектом TOUGHPROGRESS является использование Google Calendar для своих функций C2. После активации он считывает и записывает события календаря для связи со своими операторами. Злоумышленники создают зашифрованные команды в событиях календаря, которые вредоносная программа затем опрашивает и выполняет. Данные, украденные из зараженной системы, записываются обратно в новые события календаря, готовые к извлечению злоумышленниками.
Как неправильно используют Календарь Google
Использование Google Calendar в качестве скрытого канала — пример того, как злоумышленники адаптируются, чтобы вплести вредоносную активность в обычное использование веб-сайта. Google Calendar — это надежный, широко используемый сервис, что делает его идеальным инструментом для киберпреступников, чтобы спрятаться на виду. Злоумышленники использовали эту технику, создавая поддельные «события нулевой минуты» с зашифрованными командами и данными. Для случайного наблюдателя это может показаться безобидным — или может остаться незамеченным полностью.
Последствия для безопасности
Раскрытие TOUGHPROGRESS показывает, насколько изобретательными могут быть киберпреступники, используя знакомые платформы в своих интересах. Поскольку облачные сервисы, такие как Google Calendar, являются неотъемлемой частью повседневных деловых и личных рабочих процессов, организациям следует быть бдительными и рассматривать неправомерное использование облака как часть своей стратегии безопасности.
Этот случай также подчеркивает важность осведомленности пользователей. Поскольку заражение начинается с фишингового письма, обучение сотрудников и тщательная проверка неожиданных вложений или ссылок остаются важнейшими мерами защиты.
Кто стоит за атакой?
APT41, группа, использующая TOUGHPROGRESS, имеет историю атак на организации в различных отраслях, включая правительство, судоходство, СМИ и технологии. APT41 также известна под другими именами, такими как Blackfly, Wicked Panda и Winnti, и действует уже много лет, часто используя передовые инструменты и методы для достижения своих целей.
Более ранние кампании APT41 включали использование других вредоносных программ, таких как ANTSWORD, BLUEBEAM и DUSTPAN, нацеленных на организации в таких странах, как Италия, Испания и Великобритания. Их тактика, которая часто включает использование веб-шеллов и фишинговых атак, отражает масштабную и постоянную угрозу.
Принятие мер: ответ Google
Быстрой реакцией Google на обнаружение TOUGHPROGRESS стало закрытие вредоносной учетной записи Google Calendar и связанных с ней проектов Workspace, что фактически уничтожило инфраструктуру злоумышленников. Хотя полный масштаб кампании остается неясным, это вмешательство прервало непосредственную угрозу.
Google также уведомила пострадавшие организации, подчеркнув важность быстрого обнаружения и реагирования для минимизации последствий таких атак.
Взгляд вперед
Появление TOUGHPROGRESS подчеркивает растущую потребность в решениях по кибербезопасности, которые учитывают не только традиционные методы атак, но и креативное злоупотребление законными услугами. Поскольку облачные платформы становятся все более важными в повседневной жизни, их безопасность должна развиваться синхронно.
Изучение этих угроз является ключевым первым шагом. TOUGHPROGRESS служит своевременным напоминанием о том, что бдительность, передовые методы обеспечения безопасности и сотрудничество между технологической отраслью и пользователями имеют решающее значение для защиты от этих все более сложных киберугроз.
