Группа Google Threat Intelligence Group (GTIG) раскрыла новую кампанию APT41 (HOODOO), в которой хакеры использовали Google Calendar для управления вредоносным ПО. В конце октября 2024 года злоумышленники взломали правительственный сайт, распространяя через него троянец TOUGHPROGRESS. Целями стали госучреждения, логистические и медиакомпании, технологический и автомобильный сектор.
Описание
Фишинг и заражение
Атака начиналась с рассылки писем, содержащих ссылку на архив "出境海關申報清單.zip". Внутри архива находился LNK-файл, замаскированный под PDF, и папка с изображениями. Ключевые файлы 6.jpg (зашифрованная нагрузка) и 7.jpg (DLL-дешифратор) активировались при открытии LNK. После выполнения скрипта LNK заменялся легитимным PDF-документом о таможенных декларациях.
Многоступенчатый троянец
Заражение проходило в три этапа. Сначала модуль PLUSDROP расшифровывал следующий этап в памяти. Затем PLUSINJECT внедрял финальную нагрузку в легитимный процесс svchost.exe через технику process hollowing. Финальный модуль TOUGHPROGRESS использовал Google Calendar для скрытного управления.
Технология уклонения
TOUGHPROGRESS применял сложную обфускацию: регистровые косвенные вызовы, динамическую арифметику адресов и переполнение 64-битных регистров. Это нарушало построение графа потока управления в инструментах анализа. Для связи с C2 троянец создавал события в Google Calendar: на дату 2023-05-30 записывал зашифрованные данные жертвы, а команды получал из событий 2023-07-30/31, используя 10-байтный XOR-ключ. Результаты выполнения команд шифровались через LZNT1 и 4-байтный XOR, после чего отправлялись обратно в описание календарных событий.
Борьба Google с угрозой
GTIG заблокировала инфраструктуру APT41, удалив контролируемые хакерами календари и проекты Workspace. В Safe Browsing внесены домены-индикаторы, включая word[.]msapp[.]workers[.]dev, pubs[.]infinityfreeapp[.]com и URL-сокращатели lihi[.]cc, tinyurl[.]com. Пострадавшим организациям переданы образцы сетевого трафика и данные об угрозе.
Исторический контекст
APT41 систематически злоупотребляет облачными сервисами Google. В 2023 году группа использовала Sheets и Drive для C2, в 2024 — внедряла VOLDEMORT и DUSTTRAP через публичные облака. Несмотря на регулярный демонтаж инфраструктуры GTIG, хакеры продолжают экспериментировать с бесплатными хостингами Cloudflare Workers и InfinityFree.
Индикаторы компрометации
Domains
- 104075625139-l53k83pb6jbbc2qbreo4i5a0vepen41j.apps.googleusercontent.com
- cloud.msapp.workers.dev
- pubs.infinityfreeapp.com
- resource.infinityfreeapp.com
- term-restore-satisfied-hence.trycloudflare.com
- ways-sms-pmc-shareholders.trycloudflare.com
- word.msapp.workers.dev
URLs
- https://lihi.cc/4z5sh
- https://lihi.cc/5nlgd
- https://lihi.cc/6dekU
- https://lihi.cc/edcOv
- https://lihi.cc/v3OyQ
- https://my5353.com/fPUcX
- https://my5353.com/nWyTf
- https://my5353.com/ppOH5
- https://my5353.com/vEWiT
- https://my5353.com/ZwEkm
- https://reurl.cc/WNr2Xy
- https://tinyurl.com/3wnz46pv
- https://tinyurl.com/hycev3y7
- https://tinyurl.com/mpa2c5wj
- https://tinyurl.com/mr42t4yv
- https://www.googleapis.com/calendar/v3/calendars/ff57964096cadc1a8733cf566b41c9528c89d30edec86326c723932c1e79ebf0@group.calendar.google.com/events
MD5
- 1ca609e207edb211c8b9566ef35043b6
- 2ec4eeeabb8f6c2970dcbffdcdbd60e3
- 65da1a9026cf171a5a7779bc5ee45fb1
- 876fb1b0275a653c4210aaf01c2698ec
SHA256
- 151257e9dfda476cdafd9983266ad3255104d72a66f9265caa8417a5fe1df5d7
- 3b88b3efbdc86383ee9738c92026b8931ce1c13cd75cd1cda2fa302791c2c4fb
- 469b534bec827be03c0823e72e7b4da0b84f53199040705da203986ef154406a
- 50124174a4ac0d65bf8b6fd66f538829d1589edc73aa7cf36502e57aa5513360