V poslední době se kybernetické útoky stávají stále sofistikovanějšími a útočníci se neustále snaží najít nové způsoby, jak se vyhnout detekci a využít každodenní nástroje, které používáme k naší práci. Nejnovější útok, který zorganizovala skupina známá jako APT41, ukazuje, jak se kyberútočníci mohou přizpůsobit a využít i běžně používané platformy k provádění malwarových kampaní. Tento útok, který byl odhalen Google Threat Intelligence Group (TIG), využil Google Calendar k šíření malwaru a komunikaci s C2 serverem, což je způsob, který by většina tradičních bezpečnostních systémů jen těžko detekovala.

Útok skrze kompromitovaný vládní web

Celý útok začal prostřednictvím již dříve kompromitovaného vládního webu. I když Google nezveřejnil konkrétní informace o tom, jak tento web byl napaden, bylo potvrzeno, že na stránkách byl umístěn archiv ve formátu .ZIP, který obsahoval škodlivý kód. Tento archiv byl následně rozesílán obětem prostřednictvím phishingových e-mailů. Útočníci se rozhodli použít tuto běžnou metodu, která je známá svou schopností oklamat i zkušené uživatele, a tak dostat malware k cílům.

V ZIP souboru byly oběti zaslány tři soubory – DLL knihovna a dva spustitelné soubory, které se tvářily jako obrázky JPG, a zástupce (LNK), jenž vypadal jako PDF dokument. Jakmile oběť klikla na tento falešný PDF soubor, ve skutečnosti se spustil zástupce, který následně aktivoval DLL soubor.

ToughProgress: Nový malware, nová hrozba

DLL soubor, jakmile byl spuštěn, dešifroval a spustil třetí soubor, který obsahoval skutečný malware. Ten dostal název "ToughProgress" a jeho hlavním úkolem bylo navázat komunikaci s C2 (command and control) serverem. A zde se celá věc stala opravdu zajímavou. Místo tradičního připojení k podezřelým serverům nebo skrytým IP adresám se APT41 rozhodli zneužít službu, která je běžně považována za bezpečnou a důvěryhodnou – Google Kalendář.

Malware přistoupil k dvěma událostem v Google Kalendáři, kde hledal specifické instrukce. Tyto pokyny byly ukryté buď ve veřejném popisu událostí, nebo v událostech, které byly nastaveny jako skryté. Jakmile malware našel tyto příkazy, zahájil další fázi útoku, šifroval citlivá data a odeslal je zpět do Kalendáře. K tomu vytvořil novou událost s nulovou minutou, která sloužila jako způsob pro odeslání šifrovaných informací zpět útočníkům. Tento způsob přenosu dat byl velmi těžko detekovatelný, protože komunikace probíhala přes legitimní, široce používanou službu.

Google reaguje: Ochrana a opatření

Problém tohoto útoku spočívá v tom, že malware nikdy neinstaluje žádné soubory přímo na disk oběti, což znamená, že oběť není schopna detekovat přítomnost malwaru pomocí tradičních antivirových programů. Navíc, když se komunikace děje přes Google Kalendář, která je považována za důvěryhodnou, je velmi těžké ji odhalit běžnými bezpečnostními produkty.

Google však na tuto hrozbu reagoval promptně. Google Threat Intelligence Group vyvinula vlastní detekční signatury, které jsou schopny rozpoznat a blokovat ToughProgress. Společnost také odstranila všechny kalendářové záznamy, které souvisely s tímto útokem, a zablokovala účty Google Workspace, které byly používány k šíření malwaru. Dále byly aktualizovány související detekce souborů a do blokovacího seznamu Google Safe Browsing byly přidány škodlivé domény a URL adresy.

Spolupráce s externími specialisty

Kromě vlastního zásahu Google spolupracoval také s externími bezpečnostními experty z Mandiant Consulting, aby rychle informoval organizace, které byly útokem zasaženy. Tato spolupráce zahrnovala poskytnutí vzorků síťového provozu generovaného malwarem a podrobností o útočnících, což pomohlo těmto organizacím lépe reagovat na incidenty a přizpůsobit své detekční mechanismy.

Přestože Google neupřesnil, kolik organizací bylo tímto útokem postiženo, potvrdil, že mezi oběťmi byly alespoň některé společnosti, což ukazuje na to, že i dobře chráněné firmy mohou být cílem vysoce sofistikovaných kyberútočníků.