Malware TOUGHPROGRESS
Los investigadores han descubierto que APT41, el actor de amenazas patrocinado por el estado chino, utiliza un malware recientemente identificado llamado TOUGHPROGRESS. Este sofisticado malware utiliza Google Calendar como canal de Comando y Control (C2), lo que permite a APT41 combinar actividad no segura con tráfico legítimo.
Tabla de contenido
El descubrimiento de una campaña sigilosa
La actividad se detectó por primera vez a finales de octubre de 2024, con TOUGHPROGRESS alojado en un sitio web gubernamental comprometido. Se implementó específicamente para atacar a otras entidades gubernamentales, aprovechando los servicios en la nube para enmascarar sus operaciones y evadir la detección.
APT41: Un enemigo familiar
APT41, también conocido como Axiom, Blackfly, Brass Typhoon (antes Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda y Winnti, es un notorio grupo estado-nación conocido por sus ataques a los sectores mundiales de transporte marítimo, logística, medios de comunicación, tecnología y automoción.
En julio de 2024, APT41 atacó a varias organizaciones en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido mediante una combinación de shells web y droppers como ANTSWORD, BLUEBEAM, DUSTPAN y DUSTTRAP. Anteriormente, en marzo de 2024, un subgrupo de APT41 atacó a empresas japonesas de los sectores de manufactura, materiales y energía como parte de una campaña conocida como RevivalStone.
Una cadena de ataques engañosos
La última cadena de ataques documentada comienza con correos electrónicos de phishing dirigido que envían un enlace a un archivo ZIP alojado en el sitio web gubernamental comprometido. Dentro del archivo ZIP hay un directorio y un acceso directo de Windows (LNK) camuflado en un documento PDF. El directorio parece contener siete imágenes de artrópodos (de '1.jpg' a '7.jpg').
La infección comienza cuando la víctima hace clic en el LNK, lo que activa un PDF señuelo que afirma que las especies enumeradas deben declararse para la exportación. Sin embargo, '6.jpg' y '7.jpg' son imágenes falsas. En realidad, el primer archivo es una carga útil cifrada, descifrada por un segundo archivo, una DLL que se ejecuta al activar el LNK. El malware utiliza tácticas de sigilo como cargas útiles de solo memoria, cifrado, compresión y ofuscación del flujo de control para evitar ser detectado.
Las tres etapas de la implementación de malware
El malware consta de tres componentes distintos, cada uno de los cuales desempeña una función crucial:
- PLUSDROP: Una DLL que descifra y ejecuta la siguiente etapa en la memoria.
- PLUSINJECT: Realiza un vaciado de proceso en un proceso 'svchost.exe' legítimo para inyectar la carga útil final.
- TOUGHPROGRESS: El malware principal, que aprovecha Google Calendar para C2.
Aprovechar Google Calendar para comando y control
TOUGHPROGRESS interactúa con un calendario de Google controlado por el atacante para leer y escribir eventos, almacenando los datos recopilados en descripciones de eventos con eventos de minuto cero con fecha predefinida (30/05/2023). El malware sondea los comandos cifrados incluidos en los eventos del calendario los días 30 y 31 de julio de 2023, los descifra y los ejecuta en el host comprometido. Los resultados se escriben en el calendario para que los atacantes los recuperen.
Google toma medidas
Google ha intervenido eliminando el fraudulento Google Calendar y cancelando los proyectos de Workspace asociados, desmantelando así esta infraestructura maliciosa. Se ha alertado a las organizaciones afectadas, pero se desconoce el alcance total de la campaña.
Historial de abuso de la nube de APT41
Este incidente no es la primera vez que APT41 manipula los servicios de Google con fines maliciosos. En abril de 2023, APT41 atacó a un medio de comunicación taiwanés, distribuyendo la herramienta Google Command and Control (GC2) mediante archivos protegidos con contraseña en Google Drive. Una vez implementada, GC2 permitió a los atacantes leer comandos de Hojas de Cálculo de Google y extraer datos mediante Google Drive.
