uzman
Active member
- Katılım
- 25 Eyl 2020
- Mesajlar
- 52,915
- Puanları
- 36
Google Tehdit İstihbarat Grubu'na (GIG) göre Google takvimi, bir grup bilgisayar korsanı tarafından bireylerden gelen gizli bilgileri çıkarmak için bir iletişim kanalı olarak kullanıldı. Teknoloji devinin siber güvenlik bölümü Ekim 2024'te nesli tükenmekte olan bir hükümet web sitesi keşfetti ve kötü amaçlı yazılımın bu dağıtımla dağıtıldığını buldu. Kötü amaçlı yazılım bir cihazı enfekte eder etmez, Google Takvimi ile bir arka kapı oluşturur ve operatörün veri çıkarmasını sağlar. GIG, bilgisayar korsanları tarafından kullanılan takvim hesaplarını ve diğer sistemleri zaten azalttı.
Google Takvim Çin'e bağlı bilgisayar korsanları tarafından Komut ve Kontrol Kanalı (C2) için kullanılır
Kötü amaçlı yazılımın dağıtım yöntemi, Google ekibinin kullanıcıları ve ürününüzü korumak için aldığı işlevsellik ve önlemler, bu saldırıyla ilişkili hacker, Çin hükümetine bağlı olduğu varsayılan bir tehdit grubu olan Hoodoo olarak da bilinmelidir.
GIG tarafından yapılan bir soruşturma, APT41'in kötü amaçlı yazılımları hedeflere teslim etmek için bir mızrak -akhat yöntemi kullandığını gösterdi. Mızrak Kimlik avı, saldırganların E -Mails'i belirli insanlara kişiselleştirdiği hedefli bir kimlik avı biçimidir.
Bu E -Mails, nesli tükenmekte olan hükümet web sitesinde barındırılan bir ZIP arşivine bir bağlantı içeriyordu. Şüphesiz bir kişi arşivi açtığında, bir PDF ve bir klasör gibi gizlenmiş bir kısaltma LNK dosyası (.lnk) gösterdi.
Kötü amaçlı yazılımın işleyişine genel bakış
Fotoğraf kredisi: konser
Bu klasör, eklembacaklı yedi JPG görüntüsünü (böcekler, örümcekler vb.) İçerdi. Gig, altıncı ve yedinci girişlerin aslında şifreli bir yük yükü içeren yalın kuşlar ve yükün şifresini çözen dinamik bir bağlantı kütüphanesi (DLL) dosyası (DLL) olduğunu vurguladı.
Hedef LNK dosyasını tıklarsa, her iki dosyayı da tetikler. İlginç bir şekilde, LNK dosyası otomatik olarak kendini siler ve yerine kullanıcıya görüntülenen sahte bir PDF ile değiştirilir. Bu dosya, hackleme girişimini maskelemek ve şüpheyi arttırmak için gösterilen türlerin ihracat için beyan edilmesi gerektiğinden bahsetmektedir.
Kötü amaçlı yazılım bir cihaza enfekte olur olmaz, her seviyenin birbiri ardına bir görev gerçekleştirdiği üç farklı aşamada çalışır. Gig, tespit edilmeden kaçınmak için çeşitli gizli tekniklere sahip her üç dizinin de yürütüldüğünü vurguladı.
İlk aşama şifresini çözdü ve doğrudan bellekte PlusDrop adlı bir DLL dosyası gerçekleştiriyor. İkinci aşamada, meşru bir pencere işlemi bir süreç filosuna başlar ve yönlendirir – saldırganlar tarafından son yükü vermek için meşru bir süreç kisvesi altında kötü amaçlı kod yürütmek için kullanılan bir teknik.
Son yük, ToughProgress, cihazda kötü amaçlı görevler gerçekleştirir ve Google takvimi aracılığıyla saldırganla iletişim kurar. Bulut tabanlı uygulamayı Komut ve Kontrol Teknolojisi (C2) aracılığıyla iletişim kanalı olarak kullanır.
Kötü amaçlı yazılım, etkinliğin açıklamasında saklanan sıfır dakikalık bir takvime sahip bir takvim olayı eklemek için sabit bir tarih (30 Mayıs 2023) ekler.
Ayrıca, saldırgana kötü amaçlı yazılımla iletişim için arka kapı veren sabit verilerde (30 ve 31 Temmuz 2023) iki olay daha yaratır. ToughProgress, bu iki etkinlik için takvimi düzenli olarak tarar.
Saldırgan şifreli bir komut gönderdiğinde, şifresini çözer ve komutu yerine getirir. Sonuç daha sonra şifreli baskı ile başka bir sıfır dakika etkinliği oluşturarak geri gönderilir.
Kötü amaçlı yazılım kampanyasını rahatsız etmek için, APT41'in Google takvim hesaplarının tanımlandığı ve kaldırdığı özel tanımlama yöntemleri. Ekip ayrıca saldırganlar tarafından kontrol edilen Google çalışma alanı projelerini kapattı ve şirkette kullanılan altyapıyı etkili bir şekilde devre dışı bıraktı.
Buna ek olarak, teknoloji devi kötü amaçlı yazılım tanıma sistemlerini güncelledi ve Google Güvenli Göz atmayı kullanarak kötü amaçlı alanları ve URL'leri engelledi.
GIG ayrıca etkilenen kuruluşları bilgilendirdi ve onlara kötü amaçlı yazılımların ağ trafiğine örnek olarak ve tehdit oyuncusunun tanınma, muayene ve tepki çabalarına yardımcı olması için ayrıntılar sağlamıştır.
Google Takvim Çin'e bağlı bilgisayar korsanları tarafından Komut ve Kontrol Kanalı (C2) için kullanılır
Kötü amaçlı yazılımın dağıtım yöntemi, Google ekibinin kullanıcıları ve ürününüzü korumak için aldığı işlevsellik ve önlemler, bu saldırıyla ilişkili hacker, Çin hükümetine bağlı olduğu varsayılan bir tehdit grubu olan Hoodoo olarak da bilinmelidir.
GIG tarafından yapılan bir soruşturma, APT41'in kötü amaçlı yazılımları hedeflere teslim etmek için bir mızrak -akhat yöntemi kullandığını gösterdi. Mızrak Kimlik avı, saldırganların E -Mails'i belirli insanlara kişiselleştirdiği hedefli bir kimlik avı biçimidir.
Bu E -Mails, nesli tükenmekte olan hükümet web sitesinde barındırılan bir ZIP arşivine bir bağlantı içeriyordu. Şüphesiz bir kişi arşivi açtığında, bir PDF ve bir klasör gibi gizlenmiş bir kısaltma LNK dosyası (.lnk) gösterdi.
Kötü amaçlı yazılımın işleyişine genel bakış
Fotoğraf kredisi: konser
Bu klasör, eklembacaklı yedi JPG görüntüsünü (böcekler, örümcekler vb.) İçerdi. Gig, altıncı ve yedinci girişlerin aslında şifreli bir yük yükü içeren yalın kuşlar ve yükün şifresini çözen dinamik bir bağlantı kütüphanesi (DLL) dosyası (DLL) olduğunu vurguladı.
Hedef LNK dosyasını tıklarsa, her iki dosyayı da tetikler. İlginç bir şekilde, LNK dosyası otomatik olarak kendini siler ve yerine kullanıcıya görüntülenen sahte bir PDF ile değiştirilir. Bu dosya, hackleme girişimini maskelemek ve şüpheyi arttırmak için gösterilen türlerin ihracat için beyan edilmesi gerektiğinden bahsetmektedir.
Kötü amaçlı yazılım bir cihaza enfekte olur olmaz, her seviyenin birbiri ardına bir görev gerçekleştirdiği üç farklı aşamada çalışır. Gig, tespit edilmeden kaçınmak için çeşitli gizli tekniklere sahip her üç dizinin de yürütüldüğünü vurguladı.
İlk aşama şifresini çözdü ve doğrudan bellekte PlusDrop adlı bir DLL dosyası gerçekleştiriyor. İkinci aşamada, meşru bir pencere işlemi bir süreç filosuna başlar ve yönlendirir – saldırganlar tarafından son yükü vermek için meşru bir süreç kisvesi altında kötü amaçlı kod yürütmek için kullanılan bir teknik.
Son yük, ToughProgress, cihazda kötü amaçlı görevler gerçekleştirir ve Google takvimi aracılığıyla saldırganla iletişim kurar. Bulut tabanlı uygulamayı Komut ve Kontrol Teknolojisi (C2) aracılığıyla iletişim kanalı olarak kullanır.
Kötü amaçlı yazılım, etkinliğin açıklamasında saklanan sıfır dakikalık bir takvime sahip bir takvim olayı eklemek için sabit bir tarih (30 Mayıs 2023) ekler.
Ayrıca, saldırgana kötü amaçlı yazılımla iletişim için arka kapı veren sabit verilerde (30 ve 31 Temmuz 2023) iki olay daha yaratır. ToughProgress, bu iki etkinlik için takvimi düzenli olarak tarar.
Saldırgan şifreli bir komut gönderdiğinde, şifresini çözer ve komutu yerine getirir. Sonuç daha sonra şifreli baskı ile başka bir sıfır dakika etkinliği oluşturarak geri gönderilir.
Kötü amaçlı yazılım kampanyasını rahatsız etmek için, APT41'in Google takvim hesaplarının tanımlandığı ve kaldırdığı özel tanımlama yöntemleri. Ekip ayrıca saldırganlar tarafından kontrol edilen Google çalışma alanı projelerini kapattı ve şirkette kullanılan altyapıyı etkili bir şekilde devre dışı bıraktı.
Buna ek olarak, teknoloji devi kötü amaçlı yazılım tanıma sistemlerini güncelledi ve Google Güvenli Göz atmayı kullanarak kötü amaçlı alanları ve URL'leri engelledi.
GIG ayrıca etkilenen kuruluşları bilgilendirdi ve onlara kötü amaçlı yazılımların ağ trafiğine örnek olarak ve tehdit oyuncusunun tanınma, muayene ve tepki çabalarına yardımcı olması için ayrıntılar sağlamıştır.