Chiến dịch này được phát hiện bởi Nhóm tình báo về mối đe dọa của Google, các nhà nghiên cứu đã xác định và phá vỡ cơ sở hạ tầng Google Calendar và Workspace do kẻ tấn công kiểm soát, đồng thời đưa ra các biện pháp bảo vệ để ngăn chặn hành vi lạm dụng như vậy trong tương lai.

Sử dụng Google Calendar làm cơ chế liên lạc C2 không phải là một kỹ thuật mới. Công ty an ninh mạng Veracode (Mỹ) gần đây đã báo cáo về một gói độc hại trong chỉ mục Node Package Manager (NPM) theo một chiến thuật tương tự.

Ngoài ra, các tin tặc APT41 còn được biết đến vì đã lạm dụng các dịch vụ của Google trước đây, như sử dụng Google trang tính và Google Drive trong chiến dịch phần mềm độc hại Voldemort vào tháng 4/2023.

Hình 1. Tổng quan về cuộc tấn công

Luồng tấn công APT41

Cuộc tấn công bắt đầu bằng một email độc hại được gửi đến mục tiêu, liên kết đến tệp ZIP được lưu trữ trên trang web của các tổ chức đã bị xâm phạm trước đó. Kho lưu trữ này chứa một tệp LNK của Windows giả mạop là một tài liệu PDF, payload chính được ngụy trang thành một tệp hình ảnh JPG, trong khi đó một tệp DLL được sử dụng để giải mã và khởi chạy payload, cũng ngụy trang thành một tệp hình ảnh.

“Các tệp 6[.]jpg" và 7[.]jpg là hình ảnh giả mạo. Tệp đầu tiên thực chất là một payload mã hóa và được giải mã bởi tệp thứ hai, chính là tệp DLL được khởi chạy khi mục tiêu nhấp vào LNK”, Google giải thích.

Theo các nhà nghiên cứu, tệp DLL là PlusDrop, một thành phần giải mã và thực thi giai đoạn tiếp theo. Tiếp theo, PlusInject thực hiện quá trình hollowing trên tiến trình Windows hợp pháp svhos[t].exe và đưa vào giai đoạn cuối cùng để mã độc ToughProgress thực thi. Phần mềm độc hại này kết nối với điểm cuối Google Calendar được mã hóa cứng và thăm dò ngày sự kiện cụ thể, để tìm lệnh mà các tin tặc APT41 thêm vào trường mô tả các sự kiện ẩn.

Hình 2. Một trong những sự kiện trên Google Calendar của APT41

Sau đó, ToughProgress trả về kết quả vào các sự kiện mới trên Google Calendar để kẻ tấn công có thể điều chỉnh các bước tiếp theo cho phù hợp.

Hình 3. Trao đổi được mã hóa

Do các dữ liệu giao tiếp C2 diễn ra qua dịch vụ đám mây hợp pháp, nên khả năng bị các phần mềm và ứng dụng bảo mật trên máy chủ bị nhiễm phát hiện là không cao.

Làm gián đoạn hoạt động

Google đã xác định các trường hợp Google Calendar do kẻ tấn công kiểm soát và chấm dứt mọi tài khoản Workspace liên quan, cũng như các sự kiện Calendar vi phạm.

Danh sách chặn (blocklist) Google's Safe Browsing cũng đã được cập nhật, do đó người dùng sẽ nhận được cảnh báo khi truy cập vào các trang web liên quan và lưu lượng truy cập từ các trang web đó sẽ bị chặn trên tất cả các sản phẩm của gã khổng lồ công nghệ này.

Báo cáo không nêu tên bất kỳ tổ chức hoặc nạn nhân bị xâm phạm cụ thể nào. Google hiện đã chia sẻ các mẫu độc hại ToughProgress và nhật ký lưu lượng truy cập với các nạn nhân để giúp họ xác định chính xác các trường hợp lây nhiễm trên môi trường của họ.