Pratite nas preko RSS-aMalver ToughProgress koristi Google Calendar za nevidljivu komunikaciju sa napadačima
Rečnik, 29.05.2025, 14:00 PM
Kineska hakerska grupa APT41 koristi novi malver pod nazivom „ToughProgress“, koji koristi Google Calendar za komandu i kontrolu (C2), čime se njegove aktivnosti skrivaju iza pouzdanog servisa u oblaku.
Napade je primetila Google-ova obaveštajna grupa za pretnje, koja je otkrila i demontirala Google Calendar i Workspace infrastrukturu koju kontrolišu napadači i uvela ciljane mere kako bi sprečila takvu zloupotrebu u budućnosti.
Korišćenje Google kalendara kao C2 mehanizma nije nova tehnika, a APT41 je poznat po zloupotrebi Google usluga, poput Google Sheets i Google Drive, korišćenih u kampanji koja je širila malver Voldemort u aprilu 2023. godine.
Ovaj njihov napad sada počinje imejlom poslatim ciljevima, koji vodi do ZIP arhive koja se nalazi na prethodno hakovanom sajtu vlade. Arhiva sadrži Windows LNK fajl koja se predstavlja kao PDF dokument, zatim malver maskiran kao JPG („6.jpg“) i DLL fajl koji se koristi za dešifrovanje i pokretanje malvera i koji je takođe kamufliran kao slika („7.jpg“).
S obzirom da je reč o malveru koji ima tri odvojena modula, prvi od njih DLL je „PlusDrop“, komponenta koja dešifruje i izvršava sledeću fazu - „PlusInject“, u potpunosti u memoriji. Zatim, PlusInject inficira računar modulom poslednje faze napada - „ToughProgress“.
Malver se povezuje sa Google kalendarom i traži određene datume događaja za komande koje APT41 dodaje u polje za opis skrivenih događaja. Nakon što ih izvrši, ToughProgress vraća rezultate u nove događaje u kalendaru kako bi napadač mogao da prilagodi svoje sledeće korake u skladu sa tim.
Pošto se C2 komunikacija odvija preko legitimnog servisa u oblaku, šanse da antivirusni softver uoči infekciju su mininalne.
Google je identifikovao instance Google kalendara koje kontroliše napadač i ukinuo sve povezane Workspace naloge i sporne događaje u kalendaru.
Google-ova blok lista za Safe Browsing je takođe ažurirana u skladu sa tim, tako da će korisnici dobiti upozorenje kada posete povezane sajtove, a saobraćaj sa tih sajtova će biti blokiran u svim Google-ovim proizvodima.
Google nije imenovao žrtve, ali je rekao da su one obaveštene direktno, u saradnji sa Mandiant-om.
Izdvojeno
Malver ToughProgress koristi Google Calendar za nevidljivu komunikaciju sa napadačima
Kineska hakerska grupa APT41 koristi novi malver pod nazivom „ToughProgress“, koji koristi Google Calendar za komandu i kontrolu (C2), či... Dalje
Šta je napad ''pregledač u pregledaču'' i kako da ga prepoznate
U svojoj nemilosrdnoj potrazi za lozinkama i drugim vrednim informacijama, sajber kriminalci neprestano izmišljaju nove načine da obmanu korisnike. ... Dalje
Ransomware
Ransomware je vrsta zlonamernog softvera koja onemogućava pristup sistemu koji inficira na različite, zahtevajući od korisnika da plati kako bi mu ... Dalje
SSL sertifikati
SSL (skraćeno od Secure Sockets Layer) sertifikati su najjednostavnije rečeno, šifrovana (enkriptovana) veb veza između klijentovog brauzera i ser... Dalje
Etički haker (white hat haker)
Etički haker je stručnjak za kompjutersku bezbednost koji je specijalizovan za testiranje sistema i mreža i koji sprovodi hakerske napade na zahtev... Dalje
Pratite nas
Nagrade
Prijatelji
