O grupo de hackers chinês APT41, conhecido pelas suas sofisticadas campanhas de ciberespionagem e crime financeiro, volta a surpreender pela sua capacidade de inovação. Desta vez, utilizam um novo malware batizado de 'ToughProgress', que recorre a uma ferramenta do dia a dia, o Google Calendar, para as suas operações de comando e controlo (C2), conseguindo assim camuflar a sua atividade maliciosa por detrás de um serviço na nuvem considerado fidedigno.
A descoberta e subsequente desmantelamento da infraestrutura controlada pelos atacantes no Google Calendar e Workspace foram realizadas pelo Threat Intelligence Group da Google. A empresa também implementou medidas específicas para prevenir futuros abusos desta natureza.
Como o 'ToughProgress' se infiltra e opera na sombra
O ataque desencadeado pelo APT41 inicia-se de forma clássica: através de um email malicioso enviado aos alvos. Este email contém uma ligação para um arquivo ZIP, alojado num website governamental previamente comprometido – uma tática que visa aumentar a aparência de legitimidade.
Dentro do arquivo ZIP, encontram-se vários componentes:
- Um ficheiro LNK do Windows, que se faz passar por um documento PDF.
- O payload principal, disfarçado como um ficheiro de imagem JPG.
- Um ficheiro DLL, também camuflado como imagem, responsável por desencriptar e executar o payload.
Conforme explica a Google, "Os ficheiros '6.jpg' e '7.jpg' são falsas imagens. O primeiro ficheiro é, na verdade, um payload encriptado e é desencriptado pelo segundo ficheiro, que é um ficheiro DLL lançado quando o alvo clica no LNK".
Este DLL, denominado 'PlusDrop', é o componente que desencripta e executa a fase seguinte, 'PlusInject', que opera inteiramente na memória do sistema. De seguida, o 'PlusInject' recorre a uma técnica conhecida como "process hollowing" no processo legítimo do Windows 'svchost.exe', injetando aí a fase final: o 'ToughProgress'.
Google Calendar: de agenda a centro de controlo C2
Uma vez ativo, o malware 'ToughProgress' estabelece ligação a um endpoint do Google Calendar que está pré-definido no seu código. A partir daí, começa a verificar datas de eventos específicos, procurando por comandos que o grupo APT41 insere no campo de descrição de eventos ocultos no calendário.
Após a execução desses comandos, o 'ToughProgress' devolve os resultados criando novos eventos no calendário. Desta forma, os atacantes conseguem monitorizar a operação e ajustar os seus próximos passos remotamente e de forma dissimulada. A grande vantagem desta abordagem para os cibercriminosos é que, ao manter os payloads sem tocar no disco e ao utilizar um serviço legítimo na nuvem para a comunicação C2, as hipóteses de serem detetados por produtos de segurança no sistema infetado são significativamente reduzidas.
Um 'modus operandi' recorrente e outras táticas semelhantes
A utilização do Google Calendar como um mecanismo de C2 não é uma técnica totalmente nova no panorama das ciberameaças. Recentemente, a Veracode reportou um pacote malicioso no índice Node Package Manager (NPM) que seguia uma tática similar.
Além disso, o próprio grupo APT41 já tem um historial de abuso dos serviços da Google. Em abril de 2023, por exemplo, foram detetados a utilizar o Google Sheets e o Google Drive numa campanha que envolvia o malware 'Voldemort'.
A resposta da Google para travar a ameaça
Após a identificação da campanha, a Google agiu prontamente para neutralizar a ameaça. Foram identificadas as instâncias do Google Calendar controladas pelos atacantes, tendo sido encerradas todas as contas Workspace relacionadas e os eventos de calendário maliciosos.
A lista de bloqueio do Google Safe Browse foi também atualizada, para que os utilizadores recebam um aviso ao tentar aceder a sites associados a esta campanha, e o tráfego proveniente desses sites será bloqueado em todos os produtos da gigante tecnológica.
Embora o relatório não nomeie especificamente as organizações ou vítimas comprometidas, a Google afirma que as notificou diretamente, num esforço conjunto com a Mandiant. Foram também partilhadas amostras do 'ToughProgress' e registos de tráfego com as vítimas, para as auxiliar na identificação de infeções nos seus ambientes.
Nenhum comentário
Seja o primeiro!