Kineski hakeri koji djeluju uz podršku države, APT41, ciljali su državne entitete malverom koji koristi Google Calendar za komandno-kontrolnu (C&C) komunikaciju, upozorava Google.
Takođe poznata pod imenima Barium, Winnti, Wicked Panda i Wicked Spider, APT41 je poznata po napadima na organizacije širom svijeta, u više sektora, uključujući automobilski, zabavni, vladin, logistički, medijski, brodski i tehnološki sektor.
U napadima zabilježenim u oktobru 2024. godine, ovi hakeri su koristili kompromitovani vladin sajt kako bi ciljali druge državne entitete malverom ToughProgress koji koristi Google Calendar pod kontrolom napadača za C&C.
APT41 se oslanjao na fišing mejlove koji su sadržali link ka ZIP arhivi postavljenoj na kompromitovanom sajtu, a koja je sadržala LNK fajl koji se predstavljao kao PDF dokument.
Kada bi se otvorio, LNK fajl bi pokrenuo DLL (nazvan PlusDrop) koji bi izvršavao sljedeću fazu (PlusInject), dizajniranu da ubrizga završni maliciozni kod (ToughProgress) u legitimni svchost proces, koristeći tehniku šupljenja procesa (process hollowing).
Po izvršenju, ToughProgress bi kreirao događaj u Google Calendaru sa trajanjem od nula minuta, na unaprijed definisan datum, upisujući u opis događaja podatke prikupljene sa kompromitovanog računara, kriptovane. Malver takođe može da čita unaprijed definisane događaje u kalendaru, u koje operater upisuje komande.
„Kada se događaj preuzme, opis događaja se dešifruje i komanda koju sadrži izvršava se na kompromitovanom računaru. Rezultati izvršenja komande se kriptuju i upisuju u drugi događaj u kalendaru“, objašnjava Google.
Internet gigant navodi da je razvio posebne otiske pomoću kojih je pronašao i uklonio kalendare pod kontrolom APT41, kao i da je identifikovao i ometao projekte unutar Google Workspace platforme koji su pripadali ovoj grupi, kako bi poremetio njihovu infrastrukturu.
Google je takođe dodao detekcije na Safe Browsing blok listu, obavijestio pogođene organizacije i dostavio im uzorke mrežnog saobraćaja ToughProgress malvera kako bi im pomogao u detekciji i otklanjanju problema.
Pored toga, Google je upozorio da je od avgusta 2024. APT41 je viđen kako koristi besplatne alate za veb hostovanje za distribuciju malvera poput Voldemort, DustTrap, ToughProgress i drugih. Stotinama entiteta su dostavljeni linkovi ka tim hosting sajtovima.
Izvor: SecurityWeek
