Google’ın Tehdit İstihbarat Grubu (GTIG), Winnti, Brass Typhoon ve Wicked Panda gibi isimlerle bilinen APT41 adlı kötü niyetli Çinli bilgisayar korsanı grubunun Google Takvim’i hedef alan TOUGHPROGRESS isimli yeni bir kötü amaçlı yazılım kullandığını tespit etti.
Ekim 2024’te ortaya çıkan bu saldırı, ele geçirilen bir devlet internet sitesi aracılığıyla birçok devlet kurumunu hedef almayı amaçladı.
YENİ KÖTÜ AMAÇLI YAZILIM GOOGLE TAKVİM’İ HEDEF ALIYOR
APT41’in TOUGHPROGRESS kötü amaçlı yazılımı, hedefli kimlik avı e-postaları ile yayılarak kurbanlarına ulaşmaktadır.
Kurbanlar, çalıntı bir hükümet web sitesine yönlendirilerek, burada kötü amaçlı içerikler içeren bir ZIP arşivine erişiyor; bu arşivde ise PDF dosyası gibi gizlenen bir Windows kısayol dosyası (LNK) ve sahte resimler mevcut.
Kullanıcılar bu LNK dosyasına tıkladıklarında, PLUSDROP, PLUSINJECT ve TOUGHPROGRESS yazılımlarını içeren karmaşık bir enfeksiyon süreci başlıyor.
Bu strateji, hedef alınan kullanıcıların kötü amaçlı yazılımları fark etmeden sistemlerine sızdırılması amacıyla tasarlanmış.
TOUGHPROGRESS NASIL ÇALIŞIYOR
TOUGHPROGRESS kötü amaçlı yazılımı, veri sızdırma ve komut alma amacıyla Google Takvim etkinliklerini kullanarak işlev gösteriyor.
Belli sabit kodlanmış tarihlerde, sistemdeki takvim olaylarını değiştirerek, gömülü verilerle sıfır dakika süreli olaylar oluşturup bunları yürütmekte; bu işlemler, enfekte olmuş sistemde gerçekleştiriliyor.
Bu durum, APT41’in Google altyapısını kötüye kullandığı ilk örnek değil. Grup, 2023 yılında da Google Drive üzerinden Google E-Tablolar’dan veri sızdıran ve komutları okuyan GC2 adlı bir arka kapı yazılımı kullanmıştı.
Google, bu tehdidin farkına vardığında, kötü amaçlı yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini kapattığını açıkladı. Ayrıca bu durumdan etkilenen kuruluşları bilgilendirdi, ancak saldırının kapsamı hakkında kesin bilgiler henüz elde edilemedi.
