🎣 **鱼叉式网络钓鱼攻击**: APT41通过鱼叉式网络钓鱼邮件,诱导用户点击托管在被入侵政府网站上的恶意ZIP文件,该文件伪装成PDF,实为包含恶意LNK文件的压缩包。
🛡️ **多阶段模块化部署**: TOUGPROGRESS恶意软件采用模块化设计,分为PLUSDROP、PLUSINJECT和核心工具三个阶段,分别负责解密执行payload、注入合法进程和执行主机监控与通信。
📅 **滥用Google日历通信**: TOUGPROGRESS利用攻击者控制的Google日历,创建零分钟事件,将加密的主机数据写入事件描述,并轮询攻击者注入的命令,从而实现隐蔽的命令与控制通信,规避传统安全检测。
🚫 **规避检测技术**: 恶意软件采用内存执行、DLL注入和处理空心等技术,以及基于注册的间接呼叫、64位地址算术溢出和控制流量混淆等手段,逃避端点检测。
🤝 **协同防御与反制**: GTIG与Mandiant FLARE合作,通过拆除攻击者控制的日历账户、终止相关工作空间项目和更新Google安全浏览阻止列表等措施,成功打乱了TOUGPROGRESS活动。
在云服务滥用的一个例子中,Google Threat Intelligence Group(GTIG)发现了一项新的APT41活动,该活动利用Google日历作为秘密命令和控制(C2)通道。被称为TOUGPROGRESS的恶意软件活动通过一个受损的政府网站针对多个政府实体,并展示了国家支持的攻击者如何在逃避和隐身方面继续创新。
“我们高度自信地评估这种恶意软件被中国参与者APT41(也跟踪为HOODOO)使用,”GTIG表示,引用其全球运营和战略目标。
该活动始于鱼叉式网络钓鱼电子邮件,该电子邮件链接到一个被泄露的政府网站上托管的恶意ZIP存档。ZIP文件包含一个伪装的。lnk文件伪装成PDF和几个JPG主题围绕节肢动物。
“文件‘6.jpg’和‘7.jpg’是假图像。第一个实际上是加密的有效载荷,第二个是目标点击LNK时启动的DLL文件,“GTIG解释说。
一旦触发,恶意软件会显示诱饵导出声明PDF,以分散用户的注意力,而感染链则默默地进行。
TOUGPROGRESS 恶意软件分三个模块化阶段部署:
恶意软件使用内存执行、DLL 注入和处理空心来逃避端点检测。
TOUGPROGRESS采用先进的规避机制:
但让它脱颖而出的是它滥用了Google日历:
“TOUGPROGRESS 能够使用攻击者控制的 Google 日历读取和写入事件。
一旦活跃,它:
使用日历使恶意流量显示为正常API活动,允许它融入合法的用户行为。
与Mandiant FLARE合作,GTIG通过以下方式成功打乱了TOUGPROGRESS活动:
“为了破坏APT41和TOUGHPROGRESS恶意软件,我们开发了自定义指纹……并将恶意域和URL添加到Google Safe Browsing阻止列表中。
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑