กลุ่มแฮ็กเกอร์ APT41 จากจีน ใช้มัลแวร์ตัวใหม่ชื่อ ‘ToughProgress’ ซึ่งใช้ประโยชน์จาก Google Calendar เพื่อการสั่งการ และควบคุม (C2) โดยซ่อนกิจกรรมอันตรายไว้เบื้องหลังบริการคลาวด์ที่เชื่อถือได้
แคมเปญนี้ถูกค้นพบโดยกลุ่ม Threat Intelligence ของ Google ซึ่งสามารถระบุ และจัดการกับโครงสร้างพื้นฐานของ Google Calendar และ Google Workspace ที่ถูกควบคุมโดยผู้โจมตี และนำมาตรการที่กำหนดเป้าหมายมาใช้เพื่อป้องกันการละเมิดดังกล่าวในอนาคต
การใช้ Google Calendar เป็นช่องทางในการสื่อสาร C2 ไม่ถือว่าเป็นเทคนิคใหม่ โดยล่าสุด Veracode ได้รายงานเกี่ยวกับแพ็กเกจที่เป็นอันตรายบน Node Package Manager (NPM) ที่ใช้กลวิธีที่คล้ายกัน
นอกจากนี้ APT41 ยังเป็นที่รู้จักในการละเมิดบริการของ Google มาก่อนหน้านี้ เช่น การใช้ Google Sheets และ Google Drive ในแคมเปญมัลแวร์ Voldemort เมื่อเดือนเมษายน 2023
ขั้นตอนการโจมตีของ APT41
การโจมตีเริ่มต้นด้วยการส่งอีเมลอันตรายไปยังเป้าหมาย โดยภายในอีเมลมีลิงก์ที่เชื่อมโยงไปยังไฟล์ ZIP archive ซึ่งถูกโฮสต์ไว้บนเว็บไซต์ของหน่วยงานรัฐบาลที่ถูกแฮ็กมาก่อนหน้านี้
ภายในไฟล์ archive มีไฟล์ Windows LNK ที่ปลอมเป็นเอกสาร PDF, เพย์โหลดหลักซึ่งปลอมเป็นไฟล์ภาพ JPG และไฟล์ DLL ที่ใช้ในการถอดรหัส และเรียกใช้งานเพย์โหลด ซึ่งก็ปลอมเป็นไฟล์ภาพเช่นกัน
Google อธิบายว่า “ไฟล์ ‘6.jpg’ และ ‘7.jpg’ เป็นไฟล์ภาพปลอม โดยไฟล์แรกเป็นเพย์โหลดที่ถูกเข้ารหัส ส่วนไฟล์ที่สองเป็นไฟล์ DLL ซึ่งจะถูกเรียกใช้เมื่อเป้าหมายคลิกที่ไฟล์ LNK”
ไฟล์ DLL คือ "PlusDrop" ซึ่งเป็นส่วนประกอบที่ใช้ถอดรหัส และดำเนินการเพย์โหลดขั้นตอนถัดไปที่ชื่อว่า 'PlusInject' ในหน่วยความจำทั้งหมด
หลังจากนั้น PlusInject จะทำการเข้าถึง process 'svhost.exe' ซึ่งเป็น Process ที่ถูกต้องบน Windows และ injects เพย์โหลดขั้นตอนสุดท้าย 'ToughProgress' เข้าไป
จากนั้นมัลแวร์จะเชื่อมต่อไปยังปลายทางของ Google Calendar ซึ่งถูกฝังอยู่ในโค้ด และดึงข้อมูลจากวันที่เหตุการณ์ที่เจาะจง สำหรับคำสั่งที่ APT41 เพิ่มเข้าไปในช่องคำอธิบายของเหตุการณ์ที่ซ่อนอยู่
หลังจากดำเนินการคำสั่งแล้ว ToughProgress จะส่งผลลัพธ์กลับไปยังกิจกรรมใหม่ใน Google Calendar เพื่อให้ผู้โจมตีสามารถปรับเปลี่ยนขั้นตอนถัดไปได้ตามข้อมูลที่ได้รับ
ด้วยเพย์โหลดที่ไม่เขียนลงดิสก์เลย และการสื่อสารกับ C2 ที่เกิดขึ้นผ่านบริการคลาวด์ที่เชื่อถือได้ ทำให้โอกาสที่ผลิตภัณฑ์รักษาความปลอดภัยบนเครื่องที่ติดมัลแวร์จะตรวจพบได้นั้นต่ำมาก
การยับยั้งกิจกรรมโจมตี
Google ได้ระบุบัญชี Google Calendar ที่ถูกควบคุมโดยผู้โจมตี และทำการปิดบัญชี Workspace ที่เกี่ยวข้องทั้งหมด รวมถึงลบกิจกรรมในปฏิทินที่เป็นอันตรายออก
Google ยังได้อัปเดตรายการบล็อกใน Safe Browsing ดังนั้นผู้ใช้จะได้รับคำเตือนเมื่อเข้าชมเว็บไซต์ที่เกี่ยวข้อง และปริมาณการเข้าชมจากไซต์เหล่านั้นจะถูกบล็อกในผลิตภัณฑ์ทั้งหมดของ Google
รายงานไม่ได้ระบุชื่อองค์กร หรือเหยื่อที่ถูกโจมตีโดยเฉพาะ แต่ Google ระบุว่าได้แจ้งให้เหยื่อทราบโดยตรงโดยร่วมมือกับ Mandiant นอกจากนี้ Google ยังได้แบ่งปันตัวอย่าง ToughProgress และ Logs การรับส่งข้อมูลกับเหยื่อเพื่อช่วยให้ระบุการติดมัลแวร์ภายในระบบของพวกเขาได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.