Google’ın Tehdit İstihbarat Grubu (GTIG), kötü üne sahip Çinli bilgisayar korsanı grubu APT41’in, Winnti, Brass Typhoon ve Wicked Panda olarak da bilinen, Google Takvim’i hedef alan yeni bir kötü amaçlı yazılım olan TOUGHPROGRESS’i kullandığını tespit etti.
Ekim 2024’te ortaya çıkan bu saldırı, ele geçirilmiş bir devlet internet sitesi aracılığıyla çeşitli kamu kurumlarını hedef alarak gerçekleştirildi.
YENİ KÖTÜ AMAÇLI YAZILIM GOOGLE TAKVİM’İ HEDEF ALIYOR
APT41’in TOUGHPROGRESS kötü amaçlı yazılımı, hedefli kimlik avı e-postaları yoluyla yayılarak kurbanların sistemlerine sızıyor.
Kullanıcılar, ele geçirilmiş bir hükümet web sitesinde yer alan kötü niyetli bir ZIP arşivine yönlendiriliyor. Bu arşiv, PDF dosyası olarak gizlenmiş bir Windows kısayol dosyası (LNK) ve sahte görüntüler içeren bir klasör içeriyor.
Kullanıcı LNK dosyasına tıkladığında, PLUSDROP, PLUSINJECT ve TOUGHPROGRESS’i içeren çok aşamalı bir enfeksiyon süreci devreye giriyor.
Bu yöntem, kullanıcıları farkında olmadan kötü amaçlı yazılımın sistemlerine bulaşmasına neden oluyor.
TOUGHPROGRESS NASIL ÇALIŞIYOR
TOUGHPROGRESS kötü amaçlı yazılımı, veri sızdırma ve komut alma amacıyla Google Takvim etkinliklerini kullanarak faaliyet gösterir.
Belirli, önceden sabitlenmiş tarihlerde, gömülü verilerle birlikte sıfır dakika süreli takvim olayları oluşturup düzenliyor; daha sonra bu olaylar, enfekte olmuş sistemde yürütülüyor.
APT41’in Google altyapısını kötüye kullandığı bu durum, ilk kez gerçekleşmiyor. 2023’te grup, Google Drive üzerinden Google E-Tablolar’dan komutları okuyan ve veri sızdıran GC2 adlı bir arka kapı yazılımı da kullanmıştı.
Google, bu tehdidi öğrenir öğrenmez, kötü amaçlı yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini devre dışı bıraktığını bildirdi. Şirket ayrıca etkilenen kuruluşları ihlal hakkında uyardı, ancak saldırının tam kapsamı henüz netlik kazanmış değil.
