Google reveló el miércoles que el actor de amenaza patrocinado por el estado chino conocido como APT41 aprovechó un malware llamado ToughProgress que utiliza el calendario de Google para el comando y el control (C2).
El coloso tecnológico, que descubrió la actividad a fines de octubre de 2024, dijo que el malware fue alojado en un sitio web del gobierno comprometido y se utilizó para atacar a otras entidades gubernamentales.
“El mal uso de los servicios en la aglomeración para C2 es una técnica que muchos actores de amenazas aprovechan para combinarse con una actividad legítima”, dijo el investigador de Google Amense Intelligence Group (GTIG) Patrick Whitsell.
APT41, igualmente rastreado como Axiom, Blackfly, Brass Typhoon (anteriormente Bario), Atlas de bronce, Earth Baku, Hoodoo, Redgolf, Red Kelpie, TA415, Panda Wicked Panda y Winnti, es el nombre asignado a un prolífico peña de estado nación conocido por su objetivo de gobiernos y organizaciones internamente del remesa general y transporte, los medios de comunicación y el nombre de la tecnología, y el estado de la nación, y el estado de la nación.
En julio de 2024, Google reveló que varias entidades que operan internamente de estas verticales de la industria en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido fueron atacadas por una “campaña sostenida” utilizando una combinación de conchas de red y goteros como Antsword, Bluebeam, Dustpan y Dusttrap.
Luego, a principios de este año, se identificó un subgrupo internamente del paraguas de APT41 como empresas japonesas atacantes en los sectores de fabricación, materiales y energía en marzo de 2024 como parte de una campaña denominada Ravivalstone.
La última condena de ataque documentada por Google implica remitir correos electrónicos de phishing de rejón que contienen un enlace a un archivo postal que está alojado en el sitio web del gobierno explotado. El archivo zip incluye un directorio y un paso directo de Windows (LNK) que se disfraza de un documento PDF. El directorio presenta lo que parece ser siete imágenes diferentes de artrópodos (desde “1.jpg” hasta “7.jpg”).
La infección comienza cuando se rejón el archivo LNK, lo que hace que un PDF señuelo se presente al destinatario que indique que las especies extraídas del directorio deben declararse para la exportación. Sin confiscación, vale la pena señalar que “6.jpg” y “7.jpg” son imágenes falsas.
“El primer archivo es en ingenuidad una carga útil encriptada y se descifró por el segundo archivo, que es un archivo DLL valiente cuando el objetivo hace clic en el LNK”, dijo Whitsell, y agregó que el malware implementa varias técnicas de sigilo y diversión, como la carga útil solo de memoria, el oculto, la compresión y el control de flujo de control.
El malware consta de tres componentes distintos, cada uno de los cuales se implementa en serie y están diseñados para aguantar a final una función específica:
- Plusdrop, la DLL solía descifrar y ejecutar la venidero etapa en la memoria
- Plusinject, que rejón y realiza el proceso de hueco en un proceso cierto “svchost.exe” para inyectar la carga útil final
- ToughProgress, el malware primario que utiliza el calendario de Google para C2
El malware está diseñado para descifrar y escribir eventos con un calendario de Google controlado por el atacante, creando un evento de cero minutos en una aniversario codificada (2023-05-30) para juntar los datos cosechados en la descripción del evento.
Los operadores colocan comandos encriptados en eventos calendarios el 30 y 31 de julio de 2023, que luego son encuestados por el malware, descifrados, ejecutados en el host de Windows comprometido y los resultados escritos a otro evento calendario desde donde pueden ser extraídos por los atacantes.
Google dijo que ha donado el paso de derribar el calendario solapado de Google y terminado los proyectos de espacio de trabajo asociados, neutralizando así toda la campaña. Además dijo que las organizaciones afectadas fueron notificadas. La escalera exacta de la campaña no está clara.
Esta no es la primera vez que APT41 ha armado los servicios de Google para su preeminencia. En abril de 2023, Google reveló que el actor de amenazas se dirigió a una estructura de medios taiwanés sin nombre para ofrecer una utensilio de equipo rojo de código despejado basada en GO conocida como Google Command and Control (GC2) entregados a través de archivos protegidos con contraseña alojados en Google Drive.
Una vez instalado, GC2 actúa como una puerta trasera para descifrar comandos de las hojas de Google y exfiltrate datos utilizando el servicio de almacenamiento en la aglomeración.
