Logiciel malveillant TOUGHPROGRESS
Des chercheurs ont découvert qu'APT41, un acteur malveillant soutenu par l'État chinois, exploite un nouveau malware appelé TOUGHPROGRESS. Ce malware sophistiqué utilise Google Agenda comme canal de commande et de contrôle (C2), permettant à APT41 de combiner des activités dangereuses avec du trafic légitime.
Table des matières
La découverte d’une campagne furtive
L'activité a été détectée pour la première fois fin octobre 2024, TOUGHPROGRESS étant hébergé sur un site web gouvernemental compromis. Il a été déployé spécifiquement pour cibler d'autres entités gouvernementales, exploitant les services cloud pour masquer ses opérations et échapper à la détection.
APT41 : un ennemi familier
L'APT41, également connu sous les noms d'Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda et Winnti, est un groupe d'État-nation notoire connu pour ses attaques contre les secteurs mondiaux du transport maritime, de la logistique, des médias, de la technologie et de l'automobile.
En juillet 2024, APT41 a ciblé plusieurs organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni en utilisant une combinaison de shells Web et de droppers tels que ANTSWORD, BLUEBEAM, DUSTPAN et DUSTTRAP. Plus tôt, en mars 2024, un sous-groupe d'APT41 avait ciblé des entreprises japonaises des secteurs de la fabrication, des matériaux et de l'énergie dans le cadre d'une campagne baptisée RevivalStone.
Une chaîne d’attaque trompeuse
La dernière chaîne d'attaque documentée commence par des e-mails de spear-phishing contenant un lien vers une archive ZIP hébergée sur le site gouvernemental compromis. Le fichier ZIP contient un répertoire et un raccourci Windows (LNK) déguisé en document PDF. Le répertoire semble contenir sept images d'arthropodes (de « 1.jpg » à « 7.jpg »).
L'infection se déclenche lorsque la victime clique sur le LNK, déclenchant un PDF leurre affirmant que les espèces listées doivent être déclarées pour l'exportation. Cependant, « 6.jpg » et « 7.jpg » sont des images factices. En réalité, le premier fichier est une charge utile chiffrée, déchiffrée par un second fichier, une DLL, qui s'exécute lorsque le LNK est activé. Le malware utilise des tactiques furtives comme les charges utiles en mémoire seule, le chiffrement, la compression et l'obscurcissement du flux de contrôle pour échapper à la détection.
Les trois étapes du déploiement des logiciels malveillants
Le malware se compose de trois composants distincts, chacun jouant un rôle crucial :
- PLUSDROP : une DLL qui décrypte et exécute l'étape suivante en mémoire.
- PLUSINJECT : effectue un évidement de processus sur un processus « svchost.exe » légitime pour injecter la charge utile finale.
- TOUGHPROGRESS : Le principal malware, qui exploite Google Agenda pour C2.
Exploiter Google Agenda pour le commandement et le contrôle
TOUGHPROGRESS interagit avec un agenda Google contrôlé par un attaquant pour lire et écrire des événements, stockant les données collectées dans des descriptions d'événements dont les dates de zéro minute sont fixées en dur (30/05/2023). Les commandes chiffrées placées dans les événements de l'agenda les 30 et 31 juillet 2023 sont interrogées par le logiciel malveillant, déchiffrées et exécutées sur l'hôte compromis. Les résultats sont réécrits dans l'agenda afin que les attaquants puissent les récupérer.
Google prend des mesures
Google est intervenu en supprimant le calendrier Google frauduleux et en mettant fin aux projets Workspace associés, démantelant ainsi cette infrastructure malveillante. Les organisations concernées ont été alertées, mais l'ampleur exacte de la campagne reste inconnue.
Historique des abus du cloud d’APT41
Cet incident n'est pas la première fois qu'APT41 manipule les services Google à des fins malveillantes. En avril 2023, APT41 a ciblé un média taïwanais en diffusant l'outil Google Command and Control (GC2) via des fichiers protégés par mot de passe sur Google Drive. Une fois déployé, GC2 a permis aux attaquants de lire des commandes depuis Google Sheets et d'exfiltrer des données via Google Drive.
