Китайские хакеры используют события Google Calendar для атак
Google обнаружила сложную кибератаку, связанную с китайской хакерской группой APT41 (также известной как HOODOO). Злоумышленники использовали Google Calendar для кражи конфиденциальных данных.
Кампания началась с таргетированных фишинговых писем. В письмах содержалась ссылка на ZIP-архив, размещенный на взломанном правительственном сайте. Внутри архива находился файл-ярлык, замаскированный под PDF, и папка с изображениями насекомых и пауков. Два из этих файлов на самом деле были вредоносными.
При открытии ярлыка запускался трехэтапный процесс:
- Расшифровка и выполнение файла PLUSDROP в памяти
- Использование легитимного процесса Windows для скрытого запуска вредоносного кода
- Выполнение программы TOUGHPROGRESS для кражи данных
Необычный метод передачи данных
Хакеры использовали Google Calendar как канал связи. Вредоносное ПО создавало нулевые по длительности события с зашифрованными данными в описании. Затем оно регулярно проверяло календарь на наличие новых команд и отправляло украденную информацию через новые события.
Ответ Google
Компания обнаружила кампанию в октябре 2024 года и предприняла следующие действия:
- Заблокировала аккаунты календарей, используемые хакерами
- Удалила инфраструктуру злоумышленников
- Улучшила системы обнаружения вредоносного ПО
- Уведомила потенциально пострадавшие организации
Google также предоставила технические детали атаки, чтобы помочь организациям защититься от подобных угроз в будущем.
