APT41 在隐蔽的网络间谍活动中使用谷歌日历作为秘密 C2

“文件‘6.jpg’和‘7.jpg’是假图像。第一个实际上是加密的有效载荷,第二个是目标点击LNK时启动的DLL文件,“GTIG解释说。

一旦触发,恶意软件会显示诱饵导出声明PDF,以分散用户的注意力,而感染链则默默地进行。

TOUGPROGRESS 恶意软件分三个模块化阶段部署:

• 1. PLUSDROP – 解密并执行内存中的下一个有效载荷。
• 2. PLUSINJECT – 推出合法的 svchost.exe 并注入最后阶段。
• 3. 工具 – 核心有效载荷,执行主机监视和通过Google日历进行通信。

恶意软件使用内存执行、DLL 注入和处理空心来逃避端点检测。

TOUGPROGRESS采用先进的规避机制:

• 1. 基于注册的间接呼叫
• 2. 64 位地址算术溢出
• 3. 控制流量混淆

但让它脱颖而出的是它滥用了Google日历:

“TOUGPROGRESS 能够使用攻击者控制的 Google 日历读取和写入事件。

一旦活跃,它:

• 1. 在硬编码日期创建零分钟事件。
• 2. 加密主机数据并将其写入事件描述。
• 3. 对其他日历日期上攻击者注入命令的民意调查。
• 4. 执行解密指令,并在新事件中回信结果。

使用日历使恶意流量显示为正常API活动,允许它融入合法的用户行为。

与Mandiant FLARE合作,GTIG通过以下方式成功打乱了TOUGPROGRESS活动:

• 1. 开发自定义检测签名

• 2. 拆除攻击者控制的日历帐户
• 3. 终止相关工作空间项目
• 4. 更新 Google 安全浏览块列表

“为了破坏APT41和TOUGHPROGRESS恶意软件,我们开发了自定义指纹……并将恶意域和URL添加到Google Safe Browsing阻止列表中。