中国黑客组织APT41正在利用一种名为’ToughProgress’的新型恶意软件,通过谷歌日历进行命令与控制(C2)操作,将恶意活动隐藏在受信任的云服务背后。
此攻击活动由谷歌威胁情报团队发现,他们已经识别并拆除由攻击者控制的谷歌日历和Workspace基础设施,并引入了针对性措施以防止未来的类似滥用。使用谷歌日历作为C2机制并非新技术,Veracode最近也报道了在Node Package Manager (NPM)索引中发现的恶意软件包,它采用了类似的策略。
APT41以往就曾利用谷歌服务进行攻击,例如在2023年4月的Voldemort恶意软件活动中使用了Google Sheets和Google Drive。该攻击通过恶意邮件开始,邮件链接到一个托管在已被入侵的政府网站上的ZIP档案。该档案包含一个伪装成PDF文件的Windows LNK文件,伪装成JPG图像文件的主载荷,以及用于解密并启动载荷的DLL文件。
谷歌已经终止了所有相关的Workspace账户和有问题的日历事件,并更新了Safe Browsing黑名单,以便用户在访问相关网站时能收到警告。