Dikkat! Bu yeni kötü amaçlı yazılım Google verilerinizi hedef alabilir

Google'ın Tehdit İstihbarat Grubu (GTIG), Winnti, Brass Typhoon ve Wicked Panda olarak da bilinen kötü şöhretli Çinli bilgisayar korsanı grubu APT41'in, Google Takvim'i hedef alan TOUGHPROGRESS adlı yeni bir kötü amaçlı yazılım kullandığını ortaya çıkardı.

Ekim 2024'te keşfedilen bu saldırı, ele geçirilen bir devlet internet sitesi üzerinden çeşitli devlet kurumlarını hedef aldı.

YENİ KÖTÜ AMAÇLI YAZILIM GOOGLE TAKVİM'İ HEDEF ALIYOR

APT41 tarafından kullanılan TOUGHPROGRESS kötü amaçlı yazılımı, hedefli kimlik avı e-postaları aracılığıyla yayılıyor.

Kurbanlar, ele geçirilmiş bir hükümet web sitesindeki kötü amaçlı bir ZIP arşivine yönlendiriliyor; bu arşiv, PDF olarak gizlenmiş bir Windows kısayol dosyası (LNK) ve sahte resimler içeren bir klasör barındırıyor.

LNK dosyasına tıklandığında, PLUSDROP, PLUSINJECT ve TOUGHPROGRESS'in kendisini içeren çok aşamalı bir enfeksiyon süreci başlıyor.

Bu yöntem, kullanıcıları farkında olmadan kötü amaçlı yazılımı sistemlerine bulaştırmaya yönlendiriyor.

TOUGHPROGRESS NASIL ÇALIŞIYOR

TOUGHPROGRESS kötü amaçlı yazılımı, veri sızdırma ve komut alma amacıyla Google Takvim etkinliklerini kullanarak faaliyet gösteriyor.

Belirli sabit kodlanmış tarihlerde, gömülü verilerle sıfır dakika süreli olanlar da dahil olmak üzere takvim olayları oluşturup değiştiriyor; bu olaylar daha sonra yoklanarak enfekte olmuş sistemde yürütülüyor.

Bu, APT41'in Google altyapısını kötüye kullandığı ilk olay değil. Grup, 2023'te de Google Drive'ı kullanarak Google E-Tablolar'dan komutları okuyan ve veri sızdıran GC2 adlı bir arka kapı yazılımı kullanmıştı.

Google, bu tehdidi öğrendikten sonra kampanyayı etkisiz hale getirmek için kötü amaçlı yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini kapattığını duyurdu. Şirket ayrıca etkilenen kuruluşları ihlal hakkında uyardı, ancak saldırının tam kapsamı henüz bilinmiyor.

Kaynak: ENSONHABER

Diğer Teknoloji ve Bilim Haberleri için tıklayın