Kitajska hekerska skupina zlorabila Googlov koledar

Kitajska državna hekerska skupina APT41 je uporabila zlonamerno programsko opremo ToughProgress za nadzor okuženih sistemov prek storitve Google Calendar, kar predstavlja nov način prikritega nadzora nad žrtvami.

Napad se je začel z usmerjenimi lažnimi elektronskimi sporočili, ki so vsebovala povezavo do arhiva na kompromitirani vladni spletni strani. Arhiv je vseboval mapo s sedmimi slikami členonožcev in bližnjico, ki se je predstavljala kot dokument PDF. Ob kliku na bližnjico se je prikazal lažni dokument, medtem ko se je v ozadju sprožil zlonamerni niz, ki je vključeval tri komponente: PlusDrop (DLL za dešifriranje naslednje faze), PlusInject (vbrizga končno kodo v proces svchost.exe) in ToughProgress, ki uporablja Googlov koledar za komunikacijo z napadalci. Slednji ustvarja dogodke z ničminutnim trajanjem na določen datum, kjer shranjuje ukaze in rezultate, kar omogoča napadalcem nadzor nad okuženimi sistemi prek običajne storitve v oblaku.

Google je po odkritju kampanje odstranil dotični koledar in ukinil povezane projekte v storitvi Workspace, s čimer je prekinil delovanje zlonamerne programske opreme. Podjetje je obvestilo prizadete organizacije, čeprav obseg napada ostaja nejasen. Incident poudarja naraščajočo uporabo legitimnih oblačnih storitev za prikrite kibernetske napade, kar otežuje njihovo odkrivanje in preprečevanje.