Googleカレンダーを悪用してステルスC2通信を行う中国のマルウェア「タフ・プログレス」が発見される

Googleカレンダーを悪用してステルスC2通信を行う中国のマルウェア「タフ・プログレス」が発見される

セキュリティ

中国政府の支援を受けたハッカーグループ「APT41」が、マルウェアを使ってGoogleカレンダーに暗号化されたコマンドを書き込み、Googleカレンダーをコマンド・アンド・コントロール(C2)攻撃に利用していたことを突き止めたと、Googleの脅威インテリジェンスグループ(GTIG)が発表しました。GTIGはこのマルウェアを「TOUGHPROGRESS(タフ・プログレス)」と呼んでいます。

Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog

https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics?hl=en

APT41 malware abuses Google Calendar for stealthy C2 communication

https://www.bleepingcomputer.com/news/security/apt41-malware-abuses-google-calendar-for-stealthy-c2-communication/

今回見つかったマルウェアによる攻撃は、ターゲットに送りつけられたスピアフィッシングメールと、そのメールからリンクされた圧縮ファイルを起点としています。既に侵害された政府系ウェブサイトからホストされたこの圧縮ファイルを解凍すると、輸出品の申請に関する文書と、その添付画像に偽装されたマルウェアが展開されます。

以下は、Googleが公開したマルウェア入り圧縮ファイルの中身です。このZIPファイルには、PDFファイルに偽装されたショートカットファイル(.lnk)が含まれており、ターゲットがそれを開くと画像ファイルに偽装されたマルウェアの暗号化ペイロードと、そのペイロードの復号と起動に使われるDLLファイルが開く仕組みになっています。

Googleは「『6.jpg』と『7.jpg』は偽の画像です。前者のファイルは実際には暗号化されたペイロードであり、後者のファイルによって復号されます。後者のファイルは、標的がショートカットファイルをクリックしたときに起動されるDLLファイルです」と説明しています。

こうしてターゲットのデバイスに侵入したマルウェアは、攻撃者が管理するGoogleカレンダーに特定の日付(2023年5月30日)のイベントを作成し、その説明欄に被害者のデバイスから情報を収集たデータを書き込みます。そして、マルウェアはカレンダーをポーリング(定期的にチェック)し、攻撃者があらかじめ作成しておいた日付(2023年7月30日と31日)のイベントから暗号化されたコマンドを取得して実行し、被害者のデータを攻撃者に送信すると同時に、新たなカレンダーイベントを作成します。

攻撃にGoogleカレンダーを使い、正規のクラウドサービス経由でC2攻撃を行うことで、マルウェアはターゲットのデバイスのストレージ一切触れることなく攻撃を実行できるため、被害者のデバイスのセキュリティシステムに感知されるリスクが最小限になります。これが、今回確認されたステルスC2攻撃の基本的な仕組みです。 侵害された政府系組織や被害者などの具体的な名称は伏せられていますが、Googleは当該組織に連絡してマルウェアの情報を提供し、感染の原因を正確に特定できるようにしました。また、今後の同様の攻撃に利用されるのを阻止するため、攻撃者が管理するWorkspaceプロジェクトを終了させ、APT41がこの攻撃に使っていたインフラを事実上解体しました。また、攻撃に使用されたドメインも、Googleセーフブラウジングのブロックリストに追加されています。

GoogleカレンダーがC2攻撃に悪用されたのはこれが初めてではなく、セキュリティ企業のVeracodeは2025年5月15日に、同様の戦術を採用したnpm攻撃について報告しています。

また、APT41は以前にもGoogleのサービスを攻撃に使っており、2023年4月に発見されたマルウェア「Voldemort(ヴォルデモート)」 とそれを使った攻撃では、GoogleスプレッドシートとGoogleドライブが悪用されました。

先ほど入力したメールアドレス宛に件名「GIGAZINE無料メンバー登録のメールアドレスの確認」というメールが送信されているので、「メールアドレスを確認するには、次のリンクをクリックしてください。」の部分にあるリンクをクリックして、認証を完了してください。メールが届いていなければ、この直下にある「確認メールを再送信する」をクリックしてください。

・関連記事 iCloudカレンダーの招待状経由でiPhoneをハッキングするスパイウェアを開発するイスラエル企業「QuaDream」についてMicrosoftとCitizen Labがその実態を暴露 - GIGAZINE

中国系ハッカーが新型コロナ給付金27億円超を盗み出したことが判明 - GIGAZINE

100以上の企業や機関を標的にしたハッキング事件で中国のサイバー犯罪者らをアメリカ当局が起訴 - GIGAZINE

中国政府系ハッカー集団「APT41」が少なくともアメリカ6州の政府系ネットワークを攻略していたという報告、Log4Shellなどの脆弱性を突き - GIGAZINE

PC遠隔操作ソフト「TeamViewer」を利用したシステムにサイバー攻撃グループがアクセス可能であるとの指摘、中国のセキュリティ企業は否定 - GIGAZINE

セキュリティ企業のSophosが5年以上に及ぶ中国のハッカーとの戦いを記したレポート「パシフィック・リム」を公開 - GIGAZINE

中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家 - GIGAZINE

  • シェア:

関連記事: