セキュリティ

Googleカレンダーを悪用してステルスC2通信を行う中国のマルウェア「タフ・プログレス」が発見される


中国政府の支援を受けたハッカーグループ「APT41」が、マルウェアを使ってGoogleカレンダーに暗号化されたコマンドを書き込み、Googleカレンダーをコマンド・アンド・コントロール(C2)攻撃に利用していたことを突き止めたと、Googleの脅威インテリジェンスグループ(GTIG)が発表しました。GTIGはこのマルウェアを「TOUGHPROGRESS(タフ・プログレス)」と呼んでいます。

Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics?hl=en

APT41 malware abuses Google Calendar for stealthy C2 communication
https://www.bleepingcomputer.com/news/security/apt41-malware-abuses-google-calendar-for-stealthy-c2-communication/

今回見つかったマルウェアによる攻撃は、ターゲットに送りつけられたスピアフィッシングメールと、そのメールからリンクされた圧縮ファイルを起点としています。既に侵害された政府系ウェブサイトからホストされたこの圧縮ファイルを解凍すると、輸出品の申請に関する文書と、その添付画像に偽装されたマルウェアが展開されます。

以下は、Googleが公開したマルウェア入り圧縮ファイルの中身です。このZIPファイルには、PDFファイルに偽装されたショートカットファイル(.lnk)が含まれており、ターゲットがそれを開くと画像ファイルに偽装されたマルウェアの暗号化ペイロードと、そのペイロードの復号と起動に使われるDLLファイルが開く仕組みになっています。


Googleは「『6.jpg』と『7.jpg』は偽の画像です。前者のファイルは実際には暗号化されたペイロードであり、後者のファイルによって復号されます。後者のファイルは、標的がショートカットファイルをクリックしたときに起動されるDLLファイルです」と説明しています。

この記事のタイトルとURLをコピーする

・関連記事
iCloudカレンダーの招待状経由でiPhoneをハッキングするスパイウェアを開発するイスラエル企業「QuaDream」についてMicrosoftとCitizen Labがその実態を暴露 - GIGAZINE

中国系ハッカーが新型コロナ給付金27億円超を盗み出したことが判明 - GIGAZINE

100以上の企業や機関を標的にしたハッキング事件で中国のサイバー犯罪者らをアメリカ当局が起訴 - GIGAZINE

中国政府系ハッカー集団「APT41」が少なくともアメリカ6州の政府系ネットワークを攻略していたという報告、Log4Shellなどの脆弱性を突き - GIGAZINE

PC遠隔操作ソフト「TeamViewer」を利用したシステムにサイバー攻撃グループがアクセス可能であるとの指摘、中国のセキュリティ企業は否定 - GIGAZINE

セキュリティ企業のSophosが5年以上に及ぶ中国のハッカーとの戦いを記したレポート「パシフィック・リム」を公開 - GIGAZINE

中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家 - GIGAZINE

・関連コンテンツ

in セキュリティ,   無料メンバー, Posted by log1l_ks

You can read the machine translated English article Chinese malware 'Tough Progress' discove….