Google reveló el miércoles que el actor de amenaza patrocinado por el estado chino conocido como APT41 aprovechó un malware llamado ToughProgress que utiliza el calendario de Google para el comando y el control (C2).
El titán tecnológico, que descubrió la actividad a fines de octubre de 2024, dijo que el malware fue alojado en un sitio web del gobierno comprometido y se utilizó para atacar a otras entidades gubernamentales.
«El mal uso de los servicios en la nubarrón para C2 es una técnica que muchos actores de amenazas aprovechan para combinarse con una actividad legítima», dijo el investigador de Google Amense Intelligence Group (GTIG) Patrick Whitsell.
APT41, asimismo rastreado como Axiom, Blackfly, Brass Typhoon (anteriormente Bario), Atlas de bronce, Earth Baku, Hoodoo, Red Kelpie, TA415, Wicked Panda y Winnti, es el nombre asignado a un agrupación prolífico de estado doméstico conocido por su objetivo de gobiernos y organizaciones en el interior de los envíos globales y logists, medios de comunicación y la tecnología, la tecnología, y los autóbalos.
En julio de 2024, Google reveló que varias entidades que operan en el interior de estas verticales de la industria en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido fueron atacadas por una «campaña sostenida» utilizando una combinación de conchas de red y goteros como Antsword, Bluebeam, Dustpan y Dusttrap.
Luego, a principios de este año, se identificó un subgrupo en el interior del paraguas de APT41 como empresas japonesas atacantes en los sectores de fabricación, materiales y energía en marzo de 2024 como parte de una campaña denominada Ravivalstone.
La última cautiverio de ataque documentada por Google implica expedir correos electrónicos de phishing de lanceta que contienen un enlace a un archivo postal que está alojado en el sitio web del gobierno explotado. El archivo zip incluye un directorio y un paso directo de Windows (LNK) que se disfraza de un documento PDF. El directorio presenta lo que parece ser siete imágenes diferentes de artrópodos (desde «1.jpg» hasta «7.jpg»).
La infección comienza cuando se lanceta el archivo LNK, lo que hace que un PDF señuelo se presente al destinatario que indique que las especies extraídas del directorio deben declararse para la exportación. Sin retención, vale la pena señalar que «6.jpg» y «7.jpg» son imágenes falsas.
«El primer archivo es en existencia una carga útil encriptada y se descifró por el segundo archivo, que es un archivo DLL arrojado cuando el objetivo hace clic en el LNK», dijo Whitsell, y agregó que el malware implementa varias técnicas de sigilo y despreocupación, como la carga útil solo de memoria, el enigmático, la compresión y el control de flujo de control.
El malware consta de tres componentes distintos, cada uno de los cuales se implementa en serie y están diseñados para soportar a extremidad una función específica:
- Plusdrop, la DLL solía descifrar y ejecutar la subsiguiente etapa en la memoria
- Plusinject, que lanceta y realiza el proceso de hueco en un proceso auténtico «svchost.exe» para inyectar la carga útil final
- ToughProgress, el malware primario que utiliza el calendario de Google para C2
El malware está diseñado para estudiar y escribir eventos con un calendario de Google controlado por el atacante, creando un evento de cero minutos en una aniversario codificada (2023-05-30) para juntar los datos cosechados en la descripción del evento.
Los operadores colocan comandos encriptados en eventos calendarios el 30 y 31 de julio de 2023, que luego son encuestados por el malware, descifrados, ejecutados en el host de Windows comprometido y los resultados escritos a otro evento calendario desde donde pueden ser extraídos por los atacantes.
Google dijo que ha poliedro el paso de derribar el calendario pillo de Google y terminado los proyectos de espacio de trabajo asociados, neutralizando así toda la campaña. Incluso dijo que las organizaciones afectadas fueron notificadas. La escalera exacta de la campaña no está clara.
Esta no es la primera vez que APT41 ha armado los servicios de Google para su superioridad. En abril de 2023, Google reveló que el actor de amenazas se dirigió a una estructura de medios taiwanés sin nombre para ofrecer una utensilio de equipo rojo de código rajado basada en GO conocida como Google Command and Control (GC2) entregados a través de archivos protegidos con contraseña alojados en Google Drive.
Una vez instalado, GC2 actúa como una puerta trasera para estudiar comandos de las hojas de Google y exfiltrate datos utilizando el servicio de almacenamiento en la nubarrón.
