Google डेटा चोरी करने के लिए Google कैलेंडर का उपयोग करके मैलवेयर को बंद कर देता है
Google कैलेंडर का उपयोग हैकर्स के एक समूह द्वारा एक संचार चैनल के रूप में किया जा रहा था, जो Google खतरा खुफिया समूह (GTIG) के अनुसार व्यक्तियों से संवेदनशील जानकारी निकालने के लिए है। टेक दिग्गज के साइबर सुरक्षा प्रभाग ने अक्टूबर 2024 में एक समझौता वाली सरकारी वेबसाइट की खोज की और पाया कि मैलवेयर इसका उपयोग करके फैल रहा था। एक बार जब मैलवेयर एक डिवाइस को संक्रमित कर देता है, तो यह Google कैलेंडर का उपयोग करके एक बैकडोर बनाएगा और ऑपरेटर को डेटा निकालने की अनुमति देगा। GTIG ने पहले ही कैलेंडर खातों और अन्य प्रणालियों को ले लिया है जो हैकर्स द्वारा उपयोग किए जा रहे थे।
कमांड एंड कंट्रोल (C2) चैनल के लिए चीन से जुड़े हैकर्स द्वारा उपयोग किया जाने वाला Google कैलेंडर
GTIG ने मैलवेयर की डिलीवरी विधि को विस्तृत किया, यह कैसे कार्य करता है, और उपयोगकर्ताओं और उसके उत्पाद की सुरक्षा के लिए Google की टीम द्वारा उठाए गए उपाय। इस हमले से जुड़े हैकर को APT41 कहा जाता है, जिसे हूडू के रूप में भी जाना जाता है, एक खतरा समूह माना जाता है कि वह चीनी सरकार से जुड़ा हुआ है।
GTIG की एक जांच से पता चला कि APT41 ने लक्ष्यों को मैलवेयर देने के लिए एक भाला फ़िशिंग विधि का उपयोग किया। स्पीयर फ़िशिंग फ़िशिंग का एक लक्षित रूप है जहां हमलावर विशिष्ट व्यक्तियों को ईमेल को निजीकृत करते हैं।
इन ईमेलों में एक ज़िप संग्रह का लिंक था जिसे समझौता सरकार की वेबसाइट पर होस्ट किया गया था। जब एक अनसुना करने वाले व्यक्ति ने संग्रह खोला, तो इसने एक शॉर्टकट LNK फ़ाइल (.lnk) दिखाया, जिसे पीडीएफ, साथ ही एक फ़ोल्डर की तरह दिखाई देने के लिए प्रच्छन्न था।
मैलवेयर कैसे कार्य करता है, इसका अवलोकन
फोटो क्रेडिट: gtig
इस फ़ोल्डर में आर्थ्रोपोड्स (कीड़े, मकड़ियों, आदि) की सात जेपीजी छवियां थीं। GTIG ने इस बात पर प्रकाश डाला कि छठी और सातवीं प्रविष्टियाँ, हालांकि, डिकॉय हैं जिनमें वास्तव में एक एन्क्रिप्टेड पेलोड और एक डायनेमिक लिंक लाइब्रेरी (DLL) फ़ाइल होती है जो पेलोड को डिक्रिप्ट करती है।
जब लक्ष्य LNK फ़ाइल पर क्लिक करता है, तो यह दोनों फ़ाइलों को ट्रिगर करता है। दिलचस्प बात यह है कि LNK फ़ाइल भी स्वचालित रूप से खुद को हटा देती है और इसे एक नकली पीडीएफ के साथ बदल दिया जाता है, जिसे उपयोगकर्ता को दिखाया गया है। इस फ़ाइल में उल्लेख किया गया है कि दिखाए गए प्रजातियों को निर्यात के लिए घोषित करने की आवश्यकता है, हैकिंग प्रयास को मुखौटा करने और संदेह बढ़ाने से बचने के लिए।
एक बार जब मैलवेयर ने एक डिवाइस को संक्रमित कर दिया है, तो यह तीन अलग -अलग चरणों में संचालित होता है, जहां प्रत्येक चरण अनुक्रम में एक कार्य करता है। GTIG ने कहा कि सभी तीन अनुक्रमों को पता लगाने से बचने के लिए विभिन्न चुपके तकनीकों का उपयोग करके निष्पादित किया जाता है।
पहला चरण डिक्रिप्ट करता है और एक DLL फ़ाइल चलाता है जिसका नाम प्लसड्रॉप सीधे मेमोरी में होता है। दूसरा चरण एक वैध विंडोज प्रक्रिया शुरू करता है और प्रक्रिया को खोखला करने की प्रक्रिया करता है – एक वैध प्रक्रिया की आड़ में दुर्भावनापूर्ण कोड चलाने के लिए हमलावरों द्वारा उपयोग की जाने वाली एक तकनीक – अंतिम पेलोड को इंजेक्ट करने के लिए।
अंतिम पेलोड, टफप्रोग्रेस, डिवाइस पर दुर्भावनापूर्ण कार्यों को निष्पादित करता है और Google कैलेंडर के माध्यम से हमलावर के साथ संचार करता है। यह कमांड एंड कंट्रोल (C2) तकनीक के माध्यम से एक संचार चैनल के रूप में क्लाउड-आधारित ऐप का उपयोग करता है।
मैलवेयर एक हार्डकोडेड तिथि (30 मई, 2023) पर एक शून्य-मिनट का कैलेंडर इवेंट जोड़ता है, जो इवेंट के विवरण फ़ील्ड में समझौता किए गए कंप्यूटर से एन्क्रिप्टेड डेटा को संग्रहीत करता है।
यह हार्डकोडेड तिथियों (30 और 31, 2023) पर दो अन्य घटनाओं को भी बनाता है, जो हमलावर को मैलवेयर के साथ संवाद करने के लिए एक पिछले दरवाजे देता है। TurdProgress नियमित रूप से इन दो घटनाओं के लिए कैलेंडर को स्कैन करता है।
जब हमलावर एक एन्क्रिप्टेड कमांड भेजता है, तो वह इसे डिक्रिप्ट करता है और कमांड को निष्पादित करता है। फिर, यह एन्क्रिप्टेड आउटपुट के साथ एक और शून्य-मिनट की घटना बनाकर परिणाम वापस भेजता है।
मैलवेयर अभियान को बाधित करने के लिए, GTIG ने APT41 के Google कैलेंडर खातों की पहचान और हटाने वाले कस्टम डिटेक्शन विधियों को बनाया। टीम ने हमलावर-नियंत्रित Google कार्यक्षेत्र परियोजनाओं को भी बंद कर दिया, जिससे ऑपरेशन में उपयोग किए जाने वाले बुनियादी ढांचे को प्रभावी ढंग से अक्षम कर दिया गया।
इसके अतिरिक्त, टेक दिग्गज ने अपने मैलवेयर डिटेक्शन सिस्टम को भी अपडेट किया और Google सेफ ब्राउज़िंग का उपयोग करके दुर्भावनापूर्ण डोमेन और URL को अवरुद्ध कर दिया।
GTIG ने प्रभावित संगठनों को भी सूचित किया है, और उन्हें मैलवेयर के नेटवर्क ट्रैफ़िक के नमूने और खतरे के अभिनेता के बारे में विवरण प्रदान किया है, जो पता लगाने, जांच और प्रतिक्रिया प्रयासों में मदद करने के लिए।
