Google’ın Tehdit İstihbarat Grubu (GTIG), kötü şöhretli Çinli siber suçlu grubu APT41’in, Winnti, Brass Typhoon ve Wicked Panda isimleriyle de bilindiğini, yeni bir kötü amaçlı yazılım olan TOUGHPROGRESS ile Google Takvim’i hedef aldığını açıkladı.
Ekim 2024’te gözlemlenen bu siber saldırı, ele geçirilen bir devlet internet sitesi üzerinden farklı devlet kurumlarını hedef aldı.
YENİ KÖTÜ AMAÇLI YAZILIM GOOGLE TAKVİM’İ HEDEF ALIYOR
APT41’in kullandığı TOUGHPROGRESS kötü amaçlı yazılımı, hedefli kimlik avı e-postaları ile yayılıyor.
Kurbanlar, ele geçirilen bir hükümet web sitesi üzerinden kötü amaçlı bir ZIP arşivine yönlendiriliyor; bu arşiv, PDF dosyası olarak gizlenmiş bir Windows kısayol dosyası (LNK) ve sahte resimler barındıran bir klasör içeriyor.
Kullanıcı LNK dosyasına tıkladığında, PLUSDROP, PLUSINJECT ve TOUGHPROGRESS’in kendisini içeren çok aşamalı bir enfeksiyon süreci devreye giriyor.
Bu yöntem, kullanıcıları kötü amaçlı yazılımın sistemlerine bulaşmasına neden olacak şekilde yönlendiriyor.
TOUGHPROGRESS NASIL ÇALIŞIYOR
TOUGHPROGRESS, veri sızdırma ve komut alma amacıyla Google Takvim etkinliklerini kullanarak faaliyetlerini sürdürüyor.
Belirli sabit tarih aralıklarında, gömülü verilerle birlikte sıfır dakika açıkları içeren takvim olayları oluşturup değiştirerek, bu olaylar enfekte olmuş sistemlerde çalıştırılıyor.
Bu durum, APT41’in Google altyapısını kötüye kullandığı ilk vaka değil. Grup, 2023’te de Google Drive’ı kullanarak Google E-Tablolar’dan komutları okuyan ve veri sızdıran GC2 isimli bir arka kapı yazılımı kullanmıştı.
Google, bu tehdidi fark ettikten sonra, kötü amaçlı yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini kapattığını duyurdu. Ayrıca, etkilenen kuruluşlara ihlal hakkında uyarılarda bulunuldu; ancak, saldırının tam kapsamı henüz netlik kazanmış değil.
