Google Calendar digunakan sebagai saluran komunikasi oleh sekelompok peretas untuk mengekstraksi informasi sensitif dari individu, menurut Google Ancaman Intelijen Grup (GTIG). Divisi keamanan siber raksasa teknologi menemukan situs web pemerintah yang dikompromikan pada Oktober 2024 dan menemukan bahwa malware sedang tersebar menggunakannya. Setelah malware menginfeksi perangkat, itu akan membuat backdoor menggunakan Google Calendar dan memungkinkan operator untuk mengekstrak data. GTIG telah mencatat akun kalender dan sistem lain yang digunakan oleh para peretas.
Kalender Google yang Digunakan oleh China-Linked Hackers for Command and Control (C2) Channel
GTIG Detail metode pengiriman malwarebagaimana ia berfungsi, dan langkah -langkah yang diambil oleh tim Google untuk melindungi pengguna dan produknya. Peretas yang terkait dengan serangan ini dikatakan APT41, juga dikenal sebagai Hoodoo, kelompok ancaman yang diyakini terkait dengan pemerintah Cina.
Investigasi oleh GTIG mengungkapkan bahwa APT41 menggunakan metode phishing tombak untuk memberikan malware ke target. Spear Phishing adalah bentuk phishing yang ditargetkan di mana penyerang mempersonalisasikan email kepada individu tertentu.
Email -email ini berisi tautan ke arsip ZIP yang di -host di situs web pemerintah yang dikompromikan. Ketika orang yang tidak curiga membuka arsip, itu menunjukkan file lnk pintasan (.lnk), yang disamarkan untuk tampil seperti PDF, serta folder.
Tinjauan bagaimana malware berfungsi
Kredit Foto: GTIG
Folder ini berisi tujuh gambar jpg arthropoda (serangga, laba -laba, dll.). GTIG menyoroti bahwa entri keenam dan ketujuh, adalah umpan yang sebenarnya berisi muatan terenkripsi dan file Link Link (DLL) yang dinamis yang mendekripsi muatannya.
Ketika target mengklik file LNK, ia memicu kedua file. Menariknya, file LNK juga secara otomatis menghapus dirinya sendiri dan diganti dengan PDF palsu, yang ditunjukkan kepada pengguna. File ini menyebutkan bahwa spesies yang ditampilkan perlu dinyatakan untuk ekspor, cenderung menutupi upaya peretasan dan untuk menghindari meningkatkan kecurigaan.
Setelah malware menginfeksi perangkat, ia beroperasi dalam tiga tahap yang berbeda, di mana setiap tahap melakukan tugas secara berurutan. GTIG menyoroti bahwa ketiga urutan dieksekusi menggunakan berbagai teknik siluman untuk menghindari deteksi.
Tahap pertama mendekripsi dan menjalankan file DLL bernama Plusdrop langsung dalam memori. Tahap kedua meluncurkan proses Windows yang sah dan melakukan proses pelindung – teknik yang digunakan oleh penyerang untuk menjalankan kode berbahaya dengan kedok proses yang sah – untuk menyuntikkan muatan akhir.
Payload terakhir, ToughProgress, menjalankan tugas jahat pada perangkat dan berkomunikasi dengan penyerang melalui Kalender Google. Ini menggunakan aplikasi berbasis cloud sebagai saluran komunikasi melalui teknik perintah dan kontrol (C2).
Malware menambahkan acara kalender nol menit pada tanggal hardcoded (30 Mei 2023), yang menyimpan data terenkripsi dari komputer yang dikompromikan di bidang deskripsi acara.
Ini juga menciptakan dua acara lain pada tanggal hardcoded (30 dan 31 Juli 2023), yang memberi penyerang pintu belakang untuk berkomunikasi dengan malware. Toughprogress secara teratur memindai kalender untuk dua acara ini.
Ketika penyerang mengirimkan perintah terenkripsi, ia mendekripsi dan mengeksekusi perintah. Kemudian, ia mengirimkan hasilnya dengan membuat acara nol menit lain dengan output terenkripsi.
Untuk mengganggu kampanye malware, GTIG membuat metode deteksi khusus yang mengidentifikasi dan menghapus akun Kalender Google APT41. Tim juga menutup proyek-proyek Google Workspace yang dikendalikan oleh penyerang, secara efektif menonaktifkan infrastruktur yang digunakan dalam operasi.
Selain itu, raksasa teknologi ini juga memperbarui sistem deteksi malware dan memblokir domain dan URL berbahaya menggunakan Google Safe Browsing.
GTIG juga telah memberi tahu organisasi yang terkena dampak, dan memberi mereka sampel lalu lintas jaringan malware dan rincian tentang aktor ancaman untuk membantu dengan upaya deteksi, investigasi, dan respons.
.Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).Google Calendar was being used as a communication channel by a group of hackers to extract sensitive information from individuals, according to the Google Threat Intelligence Group (GTIG).){kind=link}