TOUGHPROGRESS-Malware
Forscher haben herausgefunden, dass der vom chinesischen Staat gesponserte Bedrohungsakteur APT41 die neu identifizierte Schadsoftware TOUGHPROGRESS nutzt. Diese hochentwickelte Schadsoftware nutzt den Google Kalender als Command-and-Control-Kanal (C2) und ermöglicht es APT41 , unsichere Aktivitäten mit legitimem Datenverkehr zu vermischen.
Inhaltsverzeichnis
Die Entdeckung einer heimlichen Kampagne
Die Aktivität wurde erstmals Ende Oktober 2024 entdeckt, als TOUGHPROGRESS auf einer kompromittierten Regierungswebsite gehostet wurde. Der Schädling wurde gezielt eingesetzt, um andere Regierungsstellen anzugreifen. Dabei nutzte er Cloud-Dienste, um seine Aktivitäten zu verschleiern und einer Entdeckung zu entgehen.
APT41: Ein bekannter Feind
APT41, auch bekannt als Axiom, Blackfly, Brass Typhoon (früher Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda und Winnti, ist eine berüchtigte staatliche Gruppe, die für ihre Angriffe auf die globale Schifffahrts-, Logistik-, Medien-, Technologie- und Automobilbranche bekannt ist.
Im Juli 2024 attackierte APT41 mehrere Organisationen in Italien, Spanien, Taiwan, Thailand, der Türkei und Großbritannien mithilfe einer Kombination aus Web-Shells und Droppern wie ANTSWORD, BLUEBEAM, DUSTPAN und DUSTTRAP. Zuvor, im März 2024, hatte eine Untergruppe von APT41 im Rahmen einer Kampagne namens RevivalStone japanische Unternehmen aus den Bereichen Fertigung, Rohstoffe und Energie ins Visier genommen.
Eine irreführende Angriffskette
Die jüngste dokumentierte Angriffskette beginnt mit Spear-Phishing-E-Mails, die einen Link zu einem ZIP-Archiv enthalten, das auf der kompromittierten Regierungswebsite gehostet wird. Die ZIP-Datei enthält ein Verzeichnis und eine Windows-Verknüpfung (LNK), getarnt als PDF-Dokument. Das Verzeichnis enthält offenbar sieben Bilder von Arthropoden ('1.jpg' bis '7.jpg').
Die Infektion beginnt, wenn das Opfer auf den Link klickt. Dadurch wird ein gefälschtes PDF-Dokument angezeigt, das behauptet, die aufgeführten Arten müssten für den Export angemeldet werden. Die Bilder „6.jpg“ und „7.jpg“ sind jedoch gefälschte Bilder. Tatsächlich handelt es sich bei der ersten Datei um eine verschlüsselte Nutzlast, die von einer zweiten Datei entschlüsselt wird – einer DLL, die bei Aktivierung des Link ausgeführt wird. Die Malware nutzt Tarntaktiken wie speicherbasierte Nutzlasten, Verschlüsselung, Komprimierung und Kontrollflussverschleierung, um nicht erkannt zu werden.
Die drei Phasen der Malware-Bereitstellung
Die Malware besteht aus drei verschiedenen Komponenten, die jeweils eine entscheidende Rolle spielen:
- PLUSDROP: Eine DLL, die die nächste Stufe im Speicher entschlüsselt und ausführt.
Ausnutzen von Google Kalender für Befehls- und Kontrollzwecke
TOUGHPROGRESS interagiert mit einem vom Angreifer kontrollierten Google-Kalender, um Ereignisse zu lesen und zu schreiben. Die gesammelten Daten werden in Ereignisbeschreibungen gespeichert, wobei die Zero-Minute-Ereignisse auf ein fest codiertes Datum (30.05.2023) festgelegt sind. Verschlüsselte Befehle in Kalenderereignissen vom 30. und 31. Juli 2023 werden von der Malware abgefragt, entschlüsselt und auf dem kompromittierten Host ausgeführt. Die Ergebnisse werden in den Kalender zurückgeschrieben, damit die Angreifer sie abrufen können.
Google ergreift Maßnahmen
Google hat eingegriffen, indem es den betrügerischen Google Kalender entfernt und die zugehörigen Workspace-Projekte beendet hat. Damit wurde die bösartige Infrastruktur effektiv zerstört. Betroffene Organisationen wurden informiert, das volle Ausmaß der Kampagne ist jedoch noch unbekannt.
APT41s Geschichte des Cloud-Missbrauchs
Dieser Vorfall ist nicht das erste Mal, dass APT41 Google-Dienste für böswillige Zwecke manipuliert hat. Im April 2023 zielte APT41 auf ein taiwanesisches Medienunternehmen ab und verbreitete das Tool Google Command and Control (GC2) über passwortgeschützte Dateien auf Google Drive. Nach der Bereitstellung ermöglichte GC2 Angreifern, Befehle aus Google Sheets zu lesen und Daten über Google Drive abzugreifen.
