TOUGHPROGRESS 惡意軟體:利用 Google 行事曆的隱密威脅
Table of Contents
發現隱藏的威脅
2024 年 10 月下旬,Google威脅情報小組 (GTIG)發現了一種名為 TOUGHPROGRESS 的複雜惡意軟體。該惡意工具由中國政府支持的組織APT41開發和使用,它利用 Google 日曆作為命令和控制 (C2) 通訊的意外途徑。雖然這聽起來令人擔憂,但了解這種惡意軟體的運作方式及其對數位安全的影響可以幫助組織和個人做好更好的準備。
TOUGHPROGRESS 是什麼?
TOUGHPROGRESS 是一種惡意軟體,旨在利用基於雲端的服務進行網路攻擊。與可能依賴可疑伺服器的典型惡意軟體不同,TOUGHPROGRESS 使用受信任的Google 日曆平台來傳送和接收命令。這種獨特的方法使攻擊者能夠融入合法的網路流量,從而使檢測變得更具挑戰性。
惡意軟體本身就是複雜攻擊鏈的頂點。它以包含 ZIP 檔案的魚叉式網路釣魚電子郵件開始,開啟後會顯示偽裝成無害 PDF 的 Windows 捷徑檔案。啟動此文件會引發連鎖反應,涉及多個旨在按順序工作並秘密執行命令的元件。
惡意軟體如何運作
感染鏈包括三個階段。首先,名為 PLUSDROP 的解密模組透過解密第二階段載入器啟動此程序。接下來,第二階段載入程式 PLUSINJECT 將惡意程式碼注入合法的 Windows 進程,以進一步逃避偵測。最後,TOUGHPROGRESS 被部署,作為主要有效載荷。
TOUGHPROGRESS 最聰明的地方在於它使用 Google 日曆來實現其 C2 功能。一旦激活,它就會讀取和寫入日曆事件以與其操作員進行通訊。攻擊者在日曆事件中建立加密命令,然後惡意軟體輪詢並執行這些命令。從受感染系統竊取的資料寫入新的日曆事件中,以供攻擊者提取。
谷歌日曆如何被濫用
使用 Google 日曆作為隱藏管道是攻擊者將惡意活動融入正常網路使用的一個例子。 Google 日曆是一項值得信賴且廣泛使用的服務,這使其成為網路犯罪分子隱藏的完美工具。攻擊者透過使用加密命令和資料創建虛假的「零分鐘事件」來使用這種技術。對於普通觀察者來說,這可能看起來無害——或者可能完全不被注意。
對安全的影響
TOUGHPROGRESS 的曝光錶明,網路犯罪分子在利用熟悉的平台時是多麼有創造力。由於 Google 日曆等雲端服務對於日常業務和個人工作流程至關重要,因此組織必須保持警惕,並將雲端濫用視為其安全策略的一部分。
這個案例也強調了使用者意識的重要性。由於感染始於網路釣魚電子郵件,因此員工培訓和對意外附件或連結的仔細檢查仍然是必不可少的防禦措施。
這次襲擊的幕後黑手是誰?
部署 TOUGHPROGRESS 的組織 APT41 曾經針對各行各業的組織進行攻擊,包括政府、航運、媒體和科技。 APT41 也被稱為 Blackfly、Wicked Panda 和 Winnti,該組織已經活躍多年,經常使用先進的工具和技術來實現其目標。
APT41 早期的活動涉及其他惡意軟體,例如 ANTSWORD、BLUEBEAM 和 DUSTPAN,目標是義大利、西班牙和英國等國家的實體。他們的策略通常包括使用 Web Shell 和魚叉式網路釣魚攻擊,反映出廣泛而持續的威脅。
採取行動:Google的回應
谷歌對發現 TOUGHPROGRESS 的迅速反應是關閉惡意的谷歌日曆帳戶和相關的工作區項目,有效地摧毀了攻擊者的基礎設施。儘管這次行動的全面範圍尚不清楚,但這次幹預已經瓦解了眼前的威脅。
谷歌也通知了受影響的組織,強調快速偵測和回應對於最大限度地減少此類攻擊的影響的重要性。
展望未來
TOUGHPROGRESS 的出現凸顯了對網路安全解決方案日益增長的需求,這些解決方案不僅要考慮傳統的攻擊方法,還要考慮對合法服務的創造性濫用。隨著雲端平台在日常生活中變得越來越重要,其安全性也必須隨之發展。
了解這些威脅是關鍵的第一步。 TOUGHPROGRESS 及時提醒我們,警惕、安全最佳實踐以及科技業和使用者之間的協作對於防禦日益複雜的網路威脅都至關重要。
