Kalender Google sedang digunakan sebagai saluran komunikasi oleh sekelompok bajak laut komputer untuk mengekstraksi informasi rahasia dari individu, menurut Google Ancaman Intelijen Grup (GTIG). Divisi keamanan siber raksasa teknologi menemukan situs web pemerintah yang dilakukan pada Oktober 2024 dan menemukan bahwa malware menyebar menggunakannya. Setelah malware menginfeksi perangkat, itu akan membuat pintu belakang dengan Kalender Google dan memungkinkan operator untuk mengekstrak data. GTIG telah menghilangkan akun kalender dan sistem lain yang menggunakan bajak laut komputer.
Kalender Google yang Digunakan oleh Bajak Laut Komputer Terkait dengan China untuk Saluran Perintah dan Kontrol (C2)
GTIG terperinci Metode pengiriman malwareCara kerjanya dan langkah -langkah yang diambil oleh tim Google untuk melindungi pengguna dan produk mereka. Dikatakan bahwa peretas yang terkait dengan serangan ini adalah APT41, juga dikenal sebagai Hoodoo, sekelompok ancaman yang diyakini terkait dengan pemerintah Cina.
Investigasi yang dilakukan oleh GTIG mengungkapkan bahwa APT41 menggunakan metode phishing tombak untuk mengirimkan malware ke tujuan. Tombak phishing adalah bentuk phishing khusus di mana para penyerang menyesuaikan email dengan orang tertentu.
Email -email ini berisi tautan ke file pos yang ditempatkan di situs web pemerintah yang dikompromikan. Ketika orang yang tidak curiga membuka file, ia menunjukkan file LNK akses langsung (.lnk), yang disamarkan sebagai PDF, serta folder.
Deskripsi umum tentang cara kerja malware
Kredit Foto: GTIG
Folder ini berisi tujuh gambar jpg arthropoda (serangga, laba -laba, dll.). GTIG menekankan bahwa entri keenam dan ketujuh adalah umpan yang sebenarnya berisi muatan terenkripsi dan file pustaka tautan dinamis (DLL) yang menguraikan muatan.
Ketika tujuan mengklik pada file LNK, ia memicu kedua file. Menariknya, file LNK juga secara otomatis dihilangkan dan diganti dengan PDF palsu, yang ditunjukkan kepada pengguna. File ini menyebutkan bahwa spesies yang ditampilkan harus dinyatakan untuk ekspor, yang mungkin menutupi upaya pembajakan dan menghindari meningkatnya kecurigaan.
Setelah malware menginfeksi perangkat, ia berfungsi dalam tiga tahap yang berbeda, di mana setiap tahap melakukan tugas urutan. GTIG menekankan bahwa tiga urutan dieksekusi menggunakan beberapa teknik siluman untuk menghindari deteksi.
Decipher tahap pertama dan menjalankan file DLL yang disebut Plusdrop langsung dalam memori. Tahap kedua meluncurkan proses Windows yang sah dan melakukan proses proses, teknik yang digunakan oleh penyerang untuk menjalankan kode berbahaya di bawah penampilan proses yang sah, untuk menyuntikkan muatan akhir.
Payload terakhir, Tougrgresss, menjalankan tugas jahat pada perangkat dan berkomunikasi dengan penyerang melalui Kalender Google. Gunakan aplikasi berbasis cloud sebagai saluran komunikasi melalui teknik perintah dan kontrol (C2).
Malware menambahkan acara kalender nol menit pada tanggal kode (30 Mei 2023), yang menyimpan data komputer terenkripsi yang berkomitmen pada deskripsi lapangan dari acara tersebut.
Ini juga menciptakan dua acara lain pada tanggal kode (30 dan 31 Juli 2023), yang memberi penyerang pintu belakang untuk berkomunikasi dengan malware. Toughprogress secara teratur memindai kalender untuk dua acara ini.
Ketika penyerang mengirimkan perintah terenkripsi, ia menguraikan dan mengeksekusi perintah. Kemudian, kirim hasilnya membuat acara nol menit lagi dengan output terenkripsi.
Untuk mengganggu kampanye malware, GTIG membuat metode deteksi yang dipersonalisasi yang mengidentifikasi dan menghilangkan akun Google Calendar APT41. Tim juga menutup proyek -proyek ruang kerja Google yang dikendalikan oleh penyerang, secara efektif menonaktifkan infrastruktur yang digunakan dalam operasi.
Selain itu, raksasa teknologi juga memperbarui sistem deteksi malware dan memblokir domain dan URL berbahaya menggunakan Google Safe Browsing.
GTIG juga telah memberi tahu organisasi yang terkena dampak dan memberi mereka sampel lalu lintas jaringan malware dan rincian tentang aktor ancaman untuk membantu dengan upaya deteksi, penelitian, dan respons.
