Google anunció el miércoles que un actor de amenaza patrocinado por China conocido como APT41 ha aprovechado un malware llamado ToughProgress, que utiliza el calendario de Google para Comando y Control (C2).
El gigante tecnológico, que descubrió la actividad a fines de octubre de 2024, dijo que el malware estaba alojado en un sitio web del gobierno donde comprometió y solía atacar a varias otras agencias gubernamentales.
«El mal uso de C2 Cloud Services es una técnica que muchos actores de amenazas usan para integrarse con actividades legítimas», dijo Patrick Whitsell, investigador de Google Amenazing Intelligence Group (GTIG).
APT41 también se rastrea como Axiom, Blackfly, Brass Typhoon (anteriormente Bario), Atlas de Bronce, Earthbac, Hoodoo, Red Kelpie, TA415, Evil Panda y Winnty.
En julio de 2024, Google reveló que varias entidades que operan en estas industrias, incluidas Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido, están apuntando a «campañas sostenibles» utilizando una combinación de redes web y goteros, como Antward, Blue Beam, Polay y Trap.
Luego, a principios de este año, se identificó un subcluster dentro del paraguas APT41 en marzo de 2024 como empresas japonesas atacantes en los sectores de fabricación, materiales y energía como parte de una campaña llamada Revival Stone.
La última cadena de ataque documentada por Google implica enviar un correo electrónico de phishing de lanza que contiene un enlace a un archivo zip alojado en el sitio web del gobierno explotado. El archivo ZIP contiene un directorio que se disfraza de un documento PDF y un atajo de Windows (LNK). El directorio presenta siete imágenes diferentes de artrópodos (desde «1.jpg» hasta «7.jpg»).
La infección comienza cuando se lanza el archivo LNK y presenta al destinatario un PDF señuelo que establece que las especies extraídas del directorio deben declararse para la exportación. Sin embargo, vale la pena señalar que «6.jpg» y «7.jpg» son imágenes falsas.
«El primer archivo es en realidad una carga útil encriptada y se descifra por el segundo archivo. Este es un archivo DLL lanzado cuando el objetivo hace clic en LNK. El malware implementa una variedad de técnicas de sigilo y evitación, incluidas las cargas útiles solo de memoria, el cifrado, la compresión y el control de flujo esotérico.
El malware consta de tres componentes diferentes, cada uno implementado en serie y diseñado para ejecutar una función específica –
Además, DLL se usa para descifrar y realizar la siguiente etapa de la memoria más la inyección.
El malware está diseñado para leer y escribir eventos utilizando un calendario de Google controlado por el atacante, creando eventos de ácaros cero en fechas codificadas (2023-05-30) para almacenar datos cosechados en descripciones de eventos.
El operador realiza comandos cifrados en el evento calendario los días 30 y 31 de julio de 2023, luego votado por el malware, descifrado y ejecutado en un host de Windows comprometido, con los resultados escritos a otro evento calendario que el atacante puede extraer.
Google dijo que tomó medidas para eliminar el calendario malicioso de Google y finalizó el proyecto Association Workspace, neutralizando así toda la campaña. También dijo que las organizaciones afectadas han sido notificadas. Se desconoce la escala exacta de la campaña.
Esta no es la primera vez que APT41 ha armado los servicios de Google a su favor. En abril de 2023, Google reveló que los actores de amenazas se dirigirán a organizaciones de medios taiwaneses desconocidas y proporcionarán una herramienta de equipo rojo de código abierto basada en GO conocida como Google Command and Control (GC2) que se entrega a través de archivos protegidos con contraseña alojados en Google Drive.
Una vez instalado, GC2 actúa como una puerta trasera para leer comandos de las hojas de Google y eliminar datos utilizando servicios de almacenamiento en la nube.
Source link
