APT41 Hacking Grubunun Yeni Malware’ı: ToughProgress
Son dönemde, Çin merkezli APT41 hacking grubu, ToughProgress adını verdikleri yeni bir kötü amaçlı yazılım (malware) ile dikkatleri üzerine çekti. Bu yazılım, Google Takvim‘i komut ve kontrol (C2) işlemleri için kullanarak, kötü niyetli faaliyetlerini güvenilir bir bulut hizmetinin arkasında gizliyor. APT41, daha önce de Google hizmetlerini kötüye kullanma eğiliminde olduğundan, bu durum siber güvenlik uzmanları arasında endişelere yol açtı.
Google’ın Tehdit İstihbarat Grubu, bu kampanyayı keşfederek, saldırganların kontrolündeki Google Takvim ve Workspace altyapısını etkisiz hale getirdi. Ayrıca, gelecekte bu tür kötüye kullanımlara karşı hedeflenmiş önlemler getirdi. Google, etkinlik tarihleri için belirli komutların gönderildiği sabit bir Google Takvim noktasına bağlı olarak, ToughProgress‘ü çalıştırıyor.
APT41 Saldırı Akışı
APT41’in saldırı akışı, hedeflere gönderilen kötü amaçlı bir e-posta ile başlıyor. Bu e-posta, daha önce tehlikeye atılmış bir kamu kurumu web sitesinde barındırılan bir ZIP arşivine bağlantı içeriyor. Arşivde, bir PDF belgesi gibi görünmeye çalışan bir Windows LNK dosyası ve JPG görüntü dosyası olarak maskelenmiş bir ana yük bulunuyor. Ayrıca, bu ana yükü şifrelemek ve çalıştırmak için kullanılan bir DLL dosyası da görüntü dosyası olarak gizleniyor.
Google, bu dosyaların içeriğini şöyle açıklıyor: "6.jpg" dosyası aslında şifreli bir yük; bu yük, "7.jpg" dosyası olan DLL dosyası tarafından çözümleniyor ve hedef kullanıcının LNK dosyasını tıklamasıyla çalıştırılıyor. Bu DLL dosyası, PlusDrop olarak adlandırılıyor ve ana yükü tamamen hafızada çözümleyip çalıştırıyor.
Daha sonra, PlusInject adı verilen bir aşama, meşru Windows süreci olan svhost.exe üzerinde işlem boşaltma işlemi yaparak ToughProgress‘ü enjekte ediyor. Bu kötü amaçlı yazılım, sabit bir Google Takvim noktasına bağlanarak APT41’in gizli etkinliklerinde eklenen komutları kontrol ediyor.
Etkinliğe Dönüşen Sonuçlar
APT41’in Google Takvim üzerinden gerçekleştirdiği bu tuhaf etkinlikler sonucunda, ToughProgress tarafından yürütülen işlemler tamamlandığında, elde edilen sonuçlar yeni takvim etkinlikleri olarak geri dönüyor. Bu sayede saldırganlar, bir sonraki adımlarını ayarlayabiliyor. Verilerin şifreli bir şekilde takvim aracılığıyla iletildiği bu yöntem, güvenlik ürünleri tarafından tespit edilme ihtimalini oldukça düşürmektedir. Çünkü kötü amaçlı yükler, diskte herhangi bir iz bırakmadan bulut hizmeti üzerinden iletişim kurmaktadır.
Faaliyetlerin Bozulması
Google, saldırganların kontrolündeki Google Takvim hesaplarını tespit ederek tüm ilgili Workspace hesaplarını sonlandırdı. Ayrıca, saldırganların kullandığı takvim etkinliklerini de iptal etti. Google Safe Browsing kara listesi de güncellenerek, ilgili siteleri ziyaret eden kullanıcılara uyarılar yapıldı. Bu tür siteler üzerinden gelen trafiğin, Google’ın tüm ürünleri üzerinden bloklandığı belirtildi.
Google, raporunda spesifik olarak hangi kuruluşların veya kişilerin hedef alındığını belirtmemekle birlikte, Mandiant ile işbirliği içerisinde kurbanları doğrudan bilgilendirdiğini açıkladı. ToughProgress örnekleri ve trafik kayıtları, kurbanların kendi çevrelerinde enfeksiyonları belirlemelerine yardımcı olmak amaçlı olarak paylaşıldı. Bu durum, siber güvenlik stratejilerinin geliştirilmesi açısından büyük önem taşımaktadır.
Siber Güvenlikte Alınacak Önlemler
APT41 gibi grupların faaliyetleri, siber güvenliği tehdit eden ciddi bir durum oluşturmaktadır. Kuruluşların, bulut hizmetlerini kullanırken gerekli güvenlik önlemlerini almaları şarttır. Eğitim programları ve sıkı güvenlik politikaları, bu tür tehditlere karşı en etkili savunmalar arasında yer alır.
Daha fazla farkındalık ve hazırlık, benzer saldırılara karşı hazırlıklı olmayı sağlar. Özellikle e-posta yoluyla gelen şüpheli bağlantılara karşı dikkatli olunmalı ve kullanıcıların bu konuda bilgilendirilmesi gerekmektedir. Bu tür önlemler, APT41 gibi grupların faaliyetlerini engellemeye yönelik kritik adımlardandır.
