APT41 Hakeri Iskorištavaju Google Calendar u Novim Napadima
U posljednjim napadima, hakeri poznati kao APT41, koji su podržani od strane kineske države, počeli su koristiti Google Calendar kao dio svoje C2 infrastrukture. Ova nova metoda napada otkrivena je od strane Googleove Grupa za Obavještavanje o Prijetnjama (TIG), koja je razbila operaciju i provela izmjene kako bi spriječila slične napade u budućnosti.
Kako Napadi Funkcioniraju?
Napad započinje putem prethodno kompromitirane vladine web stranice. Iako TIG nije detaljno objasnio kako je stranica kompromitirana, naveli su da je korištena za hostanje .ZIP arhive. Ova arhiva se zatim šalje potencijalnim metama putem phishing e-mailova. Unutar ZIP datoteke nalaze se tri datoteke:
- DLL datoteka
- Izvršne datoteke koje se prikazuju kao JPG-ovi
- Windows prečac (LNK) koji se prikazuje kao PDF dokument
Kada žrtva pokuša otvoriti lažni PDF, pokreće se prečac koji aktivira DLL. Ova datoteka dekriptuje i pokreće treću datoteku, koja sadrži zlonamjerni kod nazvan “ToughProgress”.
Uloga Google Calendar-a
Nakon aktivacije, zlonamjerni softver čita dodatne upute podijeljene u dva specifična događaja unutar Google Calendar-a. Ove naredbe mogu biti smještene u opisu događaja ili skrivene unutar događaja. Da bi dijelio rezultate, zlonamjerni softver stvara novi kalendarski događaj koji započinje u minutu i dijeli podatke, šifrirane, u opisu događaja.
Budući da se zlonamjerni softver zapravo ne instalira na disk, a komunikacija C2 se odvija putem legitimne Google usluge, većina sigurnosnih proizvoda ima poteškoća u otkrivanju ovog napada, navodi Google.
Kako Google Reagira na Prijetnje?
Kako bi se nosili s ovom prijetnjom, TIG je razvio prilagođene detekcijske potpise za identifikaciju i blokiranje APT41 zlonamjernog softvera. Također su uklonili povezane račune na Workspace-u i kalendarske unose. Nadalje, tim je ažurirao pretrage datoteka i dodao zlonamjerne domene i URL-ove na Googleovu bloklistu sigurnog pregledavanja.
Google je potvrdio da je barem nekoliko kompanija bilo meta napada. “U suradnji s Mandiant Consulting, GTIG je obavijestio kompromitirane organizacije,” naveli su. “Pružili smo obaviještenim organizacijama uzorak TOUGHPROGRESS mrežnog prometa, kao i informacije o prijetećem akteru, kako bismo pomogli u detekciji i odgovorima na incidente.”
Zaključak
Napadi APT41 predstavljaju ozbiljnu prijetnju, a njihova moderna strategija korištenja Google Calendar-a kao alata za provođenje napada pokazuje koliko su sofisticirani. Važno je da organizacije budu svjesne ovih prijetnji i poduzmu mjere zaštite kako bi očuvale svoje podatke i spriječile buduće incidenate. Uzimajući u obzir tehnologiju i metode koje koriste ove grupe, ključno je ostati u toku s sigurnosnim ažuriranjima i razvijati strategije za brzu reakciju na prijetnje.
