TOUGHPROGRESS 恶意软件：利用 Google 日历的隐秘威胁

发现隐藏的威胁

2024年10月下旬，谷歌威胁情报小组 (GTIG)发现了一款名为 TOUGHPROGRESS 的复杂恶意软件。这款恶意工具由中国政府支持的APT41组织开发和使用，它利用谷歌日历作为命令与控制 (C2) 通信的意外途径。虽然这听起来可能令人担忧，但了解这款恶意软件的运作方式及其对数字安全的影响，可以帮助组织和个人更好地做好准备。

TOUGHPROGRESS 是什么？

TOUGHPROGRESS 是一种恶意软件，旨在利用云服务发动网络攻击。与依赖可疑服务器的典型恶意软件不同，TOUGHPROGRESS 使用受信任的Google 日历平台来发送和接收命令。这种独特的方法使攻击者能够混入合法的网络流量中，从而大大增加了检测难度。

该恶意软件本身是一条复杂攻击链的顶峰。它始于一封包含 ZIP 压缩包的鱼叉式网络钓鱼邮件，打开后会显示一个伪装成无害 PDF 文件的 Windows 快捷方式文件。启动此文件会引发连锁反应，涉及多个旨在按顺序运行并隐秘执行命令的组件。

恶意软件如何运作

感染链包含三个阶段。首先，名为 PLUSDROP 的解密模块通过解密第二阶段加载程序启动感染过程。接下来，第二阶段加载程序 PLUSINJECT 将恶意代码注入合法的 Windows 进程，以进一步规避检测。最后，TOUGHPROGRESS 被部署，充当主要有效载荷。

TOUGHPROGRESS 最巧妙之处在于它利用 Google 日历实现 C2 功能。一旦激活，它就会读取和写入日历事件，以便与其操作员进行通信。攻击者在日历事件中创建加密命令，然后恶意软件会轮询并执行这些命令。从受感染系统窃取的数据会被写入新的日历事件中，以便攻击者提取。

谷歌日历是如何被滥用的

利用谷歌日历作为隐蔽通道，是攻击者巧妙地将恶意活动融入正常网络使用体验的一个例子。谷歌日历是一项值得信赖且广泛使用的服务，这使得它成为网络犯罪分子隐藏于众目睽睽之下的完美工具。攻击者利用这种技术，使用加密的命令和数据创建虚假的“零分钟事件”。对于普通人来说，这可能看起来无害，甚至可能完全不会被察觉。

对安全的影响

TOUGHPROGRESS 事件的曝光，凸显了网络犯罪分子利用熟悉平台牟取利益的创造力。由于 Google 日历等云服务已成为日常业务和个人工作流程中不可或缺的一部分，因此各组织必须保持警惕，并将云滥用纳入其安全战略。

此案例也凸显了用户安全意识的重要性。由于感染始于钓鱼邮件，因此员工培训以及对意外附件或链接的仔细检查仍然是至关重要的防御措施。

此次袭击的幕后黑手是谁？

部署 TOUGHPROGRESS 的 APT41 组织曾多次攻击各行各业的组织，包括政府、航运、媒体和科技行业。APT41 也被称为 Blackfly、Wicked Panda 和 Winnti，多年来一直活跃于各种攻击活动中，并经常使用先进的工具和技术来实现其目标。

APT41 早期的活动涉及其他恶意软件，例如 ANTSWORD、BLUEBEAM 和 DUSTPAN，目标是意大利、西班牙和英国等国家的实体。他们的策略通常包括使用 Web Shell 和鱼叉式网络钓鱼攻击，反映出广泛而持续的威胁。

采取行动：谷歌的回应

谷歌在发现“TOUGHPROGRESS”后迅速采取行动，关闭了恶意的谷歌日历账户及其相关的Workspace项目，有效地摧毁了攻击者的基础设施。虽然此次攻击行动的具体规模尚不清楚，但此次干预已经有效瓦解了眼前的威胁。

谷歌还通知了受影响的组织，强调快速检测和响应对于最大限度地减少此类攻击的影响的重要性。

展望未来

TOUGHPROGRESS 的出现凸显了人们对网络安全解决方案日益增长的需求，这些解决方案不仅要考虑传统的攻击手段，还要考虑对合法服务的创造性滥用。随着云平台在日常生活中变得越来越重要，其安全性也必须随之发展。

了解这些威胁是关键的第一步。TOUGHPROGRESS 及时提醒我们，保持警惕、最佳实践以及科技行业与用户之间的协作，对于防御日益复杂的网络威胁都至关重要。