TOUGHPROGRESS マルウェア

研究者らは、中国政府が支援する脅威アクターAPT41が、新たに特定されたマルウェア「TOUGHPROGRESS」を悪用していることを確認しました。この高度なマルウェアは、Googleカレンダーをコマンドアンドコントロール（C2）チャネルとして利用し、 APT41が安全でないアクティビティを正規のトラフィックと混在させることを可能にしています。

ステルス作戦の発見

この活動は2024年10月下旬に初めて検知され、TOUGHPROGRESSは侵害された政府ウェブサイト上でホストされていました。この活動は、クラウドサービスを利用して活動を隠蔽し、検出を回避しながら、他の政府機関を標的とすることを目的として展開されました。

APT41：おなじみの敵

APT41は、Axiom、Blackfly、Brass Typhoon（旧称Barium）、Bronze Atlas、Earth Baku、HOODOO、RedGolf、Red Kelpie、TA415、Wicked Panda、Winntiとしても追跡されており、世界中の海運、物流、メディア、テクノロジー、自動車業界への攻撃で知られる悪名高い国家組織です。

2024年7月、APT41は、ANTSWORD、BLUEBEAM、DUSTPAN、DUSTTRAPといったWebシェルとドロッパーを組み合わせて、イタリア、スペイン、台湾、タイ、トルコ、英国の複数の組織を標的にしました。それ以前の2024年3月には、APT41傘下のサブグループが「RevivalStone」と呼ばれるキャンペーンの一環として、製造業、素材産業、エネルギー分野の日本企業を標的にしていました。

欺瞞的な攻撃チェーン

最新の攻撃チェーンは、侵入された政府サイトにホストされているZIPアーカイブへのリンクを添付したスピアフィッシングメールから始まります。ZIPファイル内には、ディレクトリと、PDF文書に偽装されたWindowsショートカット（LNK）が含まれています。ディレクトリには、節足動物の画像7枚（「1.jpg」から「7.jpg」）が含まれているようです。

感染は被害者がLNKをクリックすると開始され、記載されている種の輸出申告が必要だと主張するおとりPDFファイルが起動します。しかし、「6.jpg」と「7.jpg」は偽の画像です。実際には、最初のファイルは暗号化されたペイロードで、2番目のファイル（LNKがアクティブになると実行されるDLL）によって復号されます。このマルウェアは、メモリのみのペイロード、暗号化、圧縮、制御フローの難読化といったステルス戦術を用いて検出を回避します。

マルウェアの展開の3つの段階

このマルウェアは 3 つの異なるコンポーネントで構成されており、それぞれが重要な役割を果たします。

• PLUSDROP:メモリ内で次のステージを復号化して実行する DLL。

Googleカレンダーをコマンド＆コントロールに悪用

TOUGHPROGRESSは、攻撃者が管理するGoogleカレンダーと連携してイベントの読み書きを行い、収集したデータをイベント記述に保存します。この際、0分イベントはハードコードされた日付（2023年5月30日）に設定されます。2023年7月30日と31日のカレンダーイベントに設定された暗号化されたコマンドは、マルウェアによってポーリングされ、復号化された後、侵害されたホスト上で実行されます。結果はカレンダーに書き戻され、攻撃者が取得できるようになります。

Googleが行動を起こす

Googleは、不正なGoogleカレンダーを削除し、関連するWorkspaceプロジェクトを終了させることで介入し、この悪意のあるインフラを事実上解体しました。影響を受けた組織には警告が発せられていますが、キャンペーンの全容は依然として不明です。

APT41のクラウド悪用の歴史

APT41が悪意ある目的でGoogleのサービスを操作したのは、今回の事件が初めてではありません。2023年4月、APT41は台湾のメディア組織を標的とし、Googleドライブ上のパスワード保護されたファイルを介してGoogleコマンド＆コントロール（GC2）ツールを配信しました。GC2が展開されると、攻撃者はGoogleスプレッドシートからコマンドを読み取り、Googleドライブを使用してデータを盗み出すことができました。