详细内容或原文请订阅后点击阅览
中国链接的APT41使用Google日历作为C2来控制其硬质恶意软件
Google说,通过Google日历,通过Google Calendar通过黑客网站针对政府进行了与中国联系的APT41控制恶意软件。 Google警告说,中国链接的APT41用Google日历将ToughProgress恶意软件用作C2,通过折衷的网站针对各种政府实体。 ” 2024年10月下旬,GTIG发现了一个被剥削的政府网站,该网站托管了用于针对多个[…]
来源:Security Affairs _恶意软件中国链接的APT41使用Google日历作为C2来控制其硬质恶意软件
Google说,通过Google日历,通过Google Calendar通过黑客网站针对政府进行了与中国联系的APT41控制恶意软件。
Google警告说,中国链接的APT41用Google日历将ToughProgress恶意软件用作C2,并通过受损的网站针对各种政府实体。
APT41” 2024年10月下旬,GTIG发现了一个被剥削的政府网站,该网站托管了用于针对其他政府实体的恶意软件。被剥削的网站交付了一个恶意软件有效载荷,我们将其称为“ Tough Progrogress”,利用了Google日历来获得命令和控制(C2)。”阅读Google发布的报告。 “滥用C2的云服务是许多威胁参与者为了与合法活动融为一体的技术。”
报告 许多 威胁 演员 杠杆APT41使用了带有黑客政府网站上的ZIP文件的长矛网络钓鱼电子邮件。邮政编码假装是有关出口声明的文档,其中包括一个伪装的LNK文件和节肢动物的图像。其中两个图像是假的,其中一个包含一个加密的有效载荷,另一个用于解密和启动恶意代码的DLL,当受害者单击链接时。显示诱饵PDF避免了怀疑。
恶意软件分为三个隐形阶段,每个阶段都具有特定的角色和先进的逃避策略。第一阶段加上了解密,并完全在记忆中运行下一个阶段。然后,第二阶段加上对象使用过程挖空将恶意代码注入合法的Windows进程,例如svchost.exe。最后,ToughProgress在感染系统上执行了攻击者的任务,并通过Google日历与操作员进行通信,以避免检测。
svchost.exeGoogle Gtig和Mandiant Consulting提醒受影响的组织,共享艰难的网络日志并威胁英特尔支持检测和响应工作。
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
Facebook