Statsstøttede kinesiske hackere kendt som APT41 er blevet opdaget i at misbruge Google Kalender i deres nyeste angreb, hvor de bruger den som en del af deres C2-infrastruktur (Command and Control).
Googles Threat Intelligence Group (TIG) opdagede for nylig denne teknik, demonterede opsætningen og indførte ændringer for at forhindre lignende angreb i fremtiden. Det skriver mediet TechRadar.
Angrebet starter fra et allerede kompromitteret website tilhørende en regering. TIG forklarede dog ikke, hvordan siden var blevet kompromitteret, men oplyste, at den blev brugt til at hoste et .ZIP-arkiv. Dette arkiv deles derefter med potentielle ofre via phishing-mails.
ZIP-filen indeholder tre filer: en DLL- og eksekverbare filer forklædt som JPG-billeder samt en Windows-genvejsfil (LNK), der udgiver sig for at være et PDF-dokument. Når offeret forsøger at åbne den falske PDF, aktiveres genvejen, som derefter kører DLL-filen.
Denne fil dekrypterer og starter den tredje fil, som er den ondsindede kode, kaldet 'ToughProgress'. Malwaren læser derefter yderligere instruktioner, der er delt i to specifikke kalenderbegivenheder i Google Kalender. Kommandoerne findes enten i beskrivelsesfeltet eller i skjulte begivenheder.
For at dele resultaterne opretter malwaren en ny begivenhed i kalenderen med nul minutters varighed den 30. maj og deler dataene på krypteret vis i begivenhedens beskrivelse.
Da malwaren aldrig installeres fysisk på harddisken, og fordi C2-kommunikationen foregår via en legitim Google-tjeneste, vil de fleste sikkerhedsprodukter ifølge Google have svært ved at opdage angrebet.
For at bekæmpe truslen udviklede TIG skræddersyede signaturer for at identificere og blokere APT41's malware. De fjernede også tilknyttede Workspace-konti og kalenderoplysninger. Derudover opdaterede de deres filregistreringer og tilføjede skadelige domæner og URL'er til Googles Safe Browsing-liste.
Google bekræftede også, at mindst nogle virksomheder blev mål for angrebet: "I samarbejde med Mandiant Consulting underrettede GTIG de kompromitterede organisationer," oplyste de.
"Vi gav de berørte organisationer et eksempel på TOUGHPROGRESS-netværkstrafiklogfiler samt information om trusselsaktøren, for at hjælpe med opdagelse og håndtering af hændelsen."
Det blev ikke oplyst, hvor mange virksomheder der blev ramt.
