Главная страница » Индикаторы компрометации
0
сейчас
Индикаторы компрометации

APT 41 использует Google Calendar для скрытого управления вредоносным ПО в атаках на Тайвань

APT

Китайская хакерская группа APT 41, также известная как BARIUM, Wicked Panda и Brass Typhoon, продолжает демонстрировать высокий уровень изощренности в своих кибероперациях. В ходе последней кампании злоумышленники использовали Google Calendar в качестве канала управления для вредоносного ПО ToughProgress, атакуя правительственные структуры Тайваня.

Описание

APT 41 сочетает методы кибершпионажа и финансово мотивированных атак, что делает ее одной из самых опасных угроз в киберпространстве. В данном случае атака началась с фишинговых писем, содержащих ссылки на ZIP-архив, размещенный на скомпрометированном правительственном сайте. Внутри архива находился LNK-файл, замаскированный под PDF, а также несколько изображений, два из которых оказались вредоносными.

После запуска LNK-файла жертве показывался поддельный документ, в то время как в фоновом режиме активировался сложный многоэтапный механизм заражения. Вредоносная нагрузка включала три модуля: PLUSDROP, PLUSINJECT и TOUGHPROGRESS. Первый модуль расшифровывал вредоносный код из файла "6.jpg" и запускал его через Rundll32.exe. Второй внедрял финальную нагрузку в легитимный процесс svchost.exe, используя технику process hollowing для уклонения от обнаружения.

Особенностью этой кампании стало использование Google Calendar для командного управления. TOUGHPROGRESS создавал и редактировал события в календаре, передавая зашифрованные команды и получая результаты их выполнения. Этот метод позволил злоумышленникам оставаться незамеченными, так как трафик выглядел как легитимные запросы к сервисам Google.

Google уже предпринял меры для блокировки вредоносных календарей и связанных с атакой доменов, добавив их в списки Safe Browsing. Однако APT 41 продолжает совершенствовать свои инструменты, что требует повышенной бдительности со стороны специалистов по кибербезопасности.

Индикаторы компрометации

Domains

  • cloud.msapp.workers.dev
  • pubs.infinityfreeapp.com
  • resource.infinityfreeapp.com
  • term-restore-satisfied-hence.trycloudflare.com
  • ways-sms-pmc-shareholders.trycloudflare.com
  • word.msapp.workers.dev

MD5

  • 1ca609e207edb211c8b9566ef35043b6
  • 2ec4eeeabb8f6c2970dcbffdcdbd60e3
  • 65da1a9026cf171a5a7779bc5ee45fb1
  • 876fb1b0275a653c4210aaf01c2698ec

SHA256

  • 151257e9dfda476cdafd9983266ad3255104d72a66f9265caa8417a5fe1df5d7
  • 3b88b3efbdc86383ee9738c92026b8931ce1c13cd75cd1cda2fa302791c2c4fb
  • 469b534bec827be03c0823e72e7b4da0b84f53199040705da203986ef154406a
  • 50124174a4ac0d65bf8b6fd66f538829d1589edc73aa7cf36502e57aa5513360
Комментарии: 0
Похожие записи
0
27 минут
Индикаторы компрометации

От идеологии к наживе: как хактивисты превращаются в киберпреступников

APT
В мире киберугроз всё чаще стирается грань между хактивизмом, движимым идеологией, и откровенно корыстными киберпреступными схемами. Группы, когда-то атаковавшие сайты и сливавшие данные ради политических
0
42 минуты
Индикаторы компрометации

DragonForce: картель вымогателей укрепляет свои позиции в мире киберпреступности

ransomware
Группа DragonForce, известная своими атаками с использованием программ-вымогателей, продолжает наращивать влияние в криминальной экосистеме. С момента первых сообщений о её деятельности в 2023 году DragonForce
0
3 дня
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
3 дня
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки