コンテンツにスキップするには Enter キーを押してください

APT41がGoogleカレンダーイベントをC2に利用

投稿日 2025年5月30日

1月を表示するカレンダー

出典: photonic 8 via Alamy Stock Photo

国家支援の脅威アクターが、昨年10月に政府を標的とした脅威キャンペーンで、ポストエクスプロイトのコマンド・アンド・コントロール(C2)操作にGoogleカレンダーを使用しました。

Googleのシニアセキュリティエンジニアであるパトリック・ウィッツェルは、5月28日にAPT41に関する研究を発表しました。APT41は中国政府が支援するスパイグループで、「ダブルドラゴン」とも呼ばれています。このグループの活動は広範囲に及び、2016年にはTeamViewerをハッキングし、昨年は多数の重要インフラ企業に侵入しました。また、中国政府の利益とは無関係に見える金銭目的の攻撃を行うことでも知られています。

新しい研究では、APT41に帰属するキャンペーンが説明されており、このグループは複数の政府機関に対してGoogleカレンダーをC2活動に利用しました。この活動は昨年10月下旬に発見されました。

クラウドサービスのC2の悪用は、多くの脅威アクターが正当な活動に紛れ込むために利用する手法です。

ウィッツェルは書いています。「クラウドサービスのC2の悪用は、多くの脅威アクターが正当な活動に紛れ込むために利用する手法です。」

APT41がGoogleカレンダーをC2に利用

このキャンペーンでは、APT41は標的に対してスピアフィッシングメールを送り、以前に侵害された政府関連のウェブサイトにホストされたzipアーカイブへのリンクを含んでいました。ユーザーがリンクをクリックしてファイルをダウンロードすると、節足動物の画像やPDFのように見えるが実際にはショートカットLNKファイルが表示されます。

関連記事:PumaBotが最新のボットネットキャンペーンでLinuxデバイスを標的に

ユーザーがファイルをクリックすると、ペイロードが実行され、「LNKは削除され、ユーザーに表示されるデコイPDFファイルに置き換えられ、これらの種が輸出のために申告する必要があることを示します。」

ペイロードの実行はまた、感染チェーンを開始し、3つのモジュールを特徴としています。最初の「PLUSDROP」は、メモリ内で次の段階のマルウェアを復号し、開始するDLLです。一方、「PLUSINJECT」は、正当な「svchost.exe」プロセスでプロセスホローイングを実行し、最終的なペイロードを注入します。研究に最も関連する最終モジュールは「TOUGHPROGRESS」で、GoogleカレンダーをC2に利用します。

TOUGHPROGRESSは、2023年5月30日に被害者から収集されたデータを自動的にフィードするゼロ分のカレンダーイベントを作成します。データは暗号化され、カレンダーイベントの説明に書き込まれます。攻撃者はまた、2023年7月30日と31日に同様のカレンダーイベントに暗号化されたコマンドを配置します(マルウェアのハードコーディングによる)。

「TOUGHPROGRESSはこれらのイベントをポーリングし始めます。イベントが取得されると、イベントの説明が復号され、含まれるコマンドが侵害されたホストで実行されます」とウィッツェルは書いています。「コマンド実行の結果は暗号化され、別のカレンダーイベントに書き戻されます。」

関連記事:「Haozi」ギャングがアマチュアにターンキー型フィッシングツールを販売

要するに、攻撃者はGoogleカレンダーの機能を利用してイベントを読み書きし、データを取り込みコマンドを発行しました。

APT41のTOUGHPROGRESSキャンペーンの概要

出典: Google

Googleの妨害努力と防御者への提言

研究投稿によると、APT41は数年間にわたり、GoogleカレンダーやGoogle Sheets、Google CloudなどのWorkspaceアプリをC2目的で標的にしてきました。

「APT41とTOUGHPROGRESSマルウェアを妨害するために、攻撃者が管理するカレンダーを特定し、削除するためのカスタムフィンガープリントを開発しました」とウィッツェルは書いています。「また、攻撃者が管理するWorkspaceプロジェクトを終了し、このキャンペーンにAPT41が依存していたインフラを効果的に解体しました。さらに、ファイル検出を更新し、悪意のあるドメインやURLをGoogle Safe Browsingのブロックリストに追加しました。」

Googleはまた、侵害された組織に通知し、それぞれにTOUGHPROGRESSネットワークトラフィックログのサンプルを提供しました。防御者に興味がある場合、Googleのブログには侵害の指標や以前にマルウェアを配布するために使用されたサブドメインとURLが含まれています。

関連記事:ご意見をお聞かせください: Dark Readingがあなたの意見を求めています

Dark ReadingはGoogleに対し、カレンダーのようなWorkspaceアプリに対する再度の悪用をどのように防ぐかを尋ねました。会社の広報担当者は研究ブログ投稿の範囲を超えて話すことを控え、「追加の保護を実装するために取り組んでいます」と述べました。

最新のDark Reading Confidentialポッドキャストをお見逃しなく、 最もありえない場所でAPTグループを発見した日、脅威ハンターのイスマエル・バレンスエラとビトール・ヴェンチュラが、高度な持続的脅威を追跡するために使用したトリックやその過程で発見した驚きを共有します。 今すぐ聞く!

翻訳元: https://www.darkreading.com/threat-intelligence/apt41-uses-google-calendar-events-c2

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です