Na quarta-feira(28), a Google divulgou que o ator de ameaças patrocinado pelo estado chinês, conhecido como APT41, utilizou um malware chamado TOUGHPROGRESS que usa o Google Calendar para comando e controle (C2).
O gigante da tecnologia, que descobriu a atividade no final de outubro de 2024, disse que o malware estava hospedado em um site governamental comprometido e foi usado para atacar diversas outras entidades governamentais.
"O uso indevido de serviços em nuvem para C2 é uma técnica que muitos atores de ameaça aproveitam para se misturar com atividades legítimas", disse o pesquisador do Google Threat Intelligence Group (GTIG), Patrick Whitsell.
APT41, também acompanhado como Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda e Winnti, é o nome atribuído a um grupo prolífico de estado-nação conhecido por seu direcionamento a governos e organizações dentro dos setores globais de envio e logística, mídia e entretenimento, tecnologia e automotivo.
Em julho de 2024, a Google revelou que várias entidades operando dentro desses segmentos industriais na Itália, Espanha, Taiwan, Tailândia, Turquia e Reino Unido foram alvo de uma "campanha sustentada" usando uma combinação de web shells e droppers como ANTSWORD, BLUEBEAM, DUSTPAN e DUSTTRAP.
Então, no início deste ano, um sub-cluster dentro do guarda-chuva APT41 foi identificado atacando empresas japonesas nos setores de manufatura, materiais e energia em março de 2024 como parte de uma campanha chamada RevivalStone.
A cadeia de ataque mais recente documentada pela Google envolve o envio de e-mails de spear-phishing contendo um link para um arquivo ZIP que está hospedado no site governamental explorado.
O arquivo ZIP inclui um diretório e um atalho do Windows (LNK) que se disfarça como um documento PDF.
O diretório apresenta o que parecem ser sete imagens diferentes de artrópodes (de "1.jpg" a "7.jpg").
A infecção começa quando o arquivo LNK é lançado, fazendo com que um PDF isca seja apresentado ao destinatário afirmando que as espécies retiradas do diretório precisam ser declaradas para exportação.
No entanto, vale notar que "6.jpg" e "7.jpg" são imagens falsas.
"O primeiro arquivo é na verdade um payload útil criptografado e é descriptografada pelo segundo arquivo, que é um arquivo DLL lançado quando o alvo clica no LNK", disse Whitsell, acrescentando que o malware implementa várias técnicas de furtividade e evasão, como payloads apenas em memória, criptografia, compressão e ofuscação de fluxo de controle.
O malware consiste em três componentes distintos, cada um dos quais é implantado em série e projetado para realizar uma função específica:
PLUSDROP, o DLL usado para descriptografar e executar a próxima etapa na memória
PLUSINJECT, que inicia e realiza o esvaziamento de processo em um processo "svchost.exe" legítimo para injetar o payload final
TOUGHPROGRESS, o malware primário que usa o Google Calendar para C2
O malware é projetado para ler e escrever eventos com um Google Calendar controlado pelo atacante, criando um evento de zero minutos em uma data pré-determinada (30-05-2023) para armazenar os dados colhidos na descrição do evento.
Os operadores colocam comandos criptografados nos eventos do Calendar em 30 e 31 de julho de 2023, que são depois sondados pelo malware, descriptografados, executados no host Windows comprometido, e os resultados escritos de volta a outro evento do Calendar de onde podem ser extraídos pelos atacantes.
A Google disse que tomou a medida de desativar o Google Calendar malicioso e terminou os projetos do Workspace associados, neutralizando assim toda a campanha.
Também informou que as organizações afetadas foram notificadas.
A escala exata da campanha é incerta.
Esta não é a primeira vez que o APT41 instrumentaliza os serviços da Google a seu favor.
Em abril de 2023, a Google divulgou que o ator de ameaças visou uma organização de mídia taiwanesa não nomeada para entregar uma ferramenta de red teaming de código aberto baseada em Go conhecida como Google Command and Control (GC2) entregue via arquivos protegidos por senha hospedados no Google Drive.
Uma vez instalado, o GC2 atua como um backdoor para ler comandos do Google Sheets e exfiltrar dados usando o serviço de armazenamento em nuvem.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...