האקרים סינים משתמשים ביומן גוגל 

האקרים סינים בחסות המדינה המכונים APT41 נצפו מנצלים לרעה את יומן גוגל במתקפות האחרונות שלהם, תוך שימוש בו כחלק מתשתית C2.

קבוצת מודיעין האיומים (TIG) של גוגל גילתה לאחרונה את הטכניקה, פירקה את המערכת והציגה שינויים כדי למנוע התקפות דומות בעתיד.

ההתקפה מתחילה מאתר ממשלתי שנפגע בעבר – TIG לא הסבירה כיצד האתר נפגע, אך אמרה שהוא שימש לאחסון ארכיון .ZIP. ארכיון זה משותף לאחר מכן, באמצעות הודעות דוא"ל של פישינג, עם מטרות פוטנציאליות.

קריאת לוח השנה

בתוך קובץ ה-ZIP ישנם שלושה קבצים: קובץ DLL וקבצי הפעלה המתחזים ל-JPG, וקובץ קיצור דרך של Windows (LNK) המתחזים למסמך PDF.

כאשר הקורבן מנסה לפתוח את קובץ ה-PDF המזויף, הוא מפעיל את קיצור הדרך, אשר בתורו מפעיל את קובץ ה-DLL.

קובץ זה, בתורו, מפענח ומפעיל את הקובץ השלישי, שהוא המטען הזדוני המכונה "ToughProgress".

לאחר מכן, התוכנה הזדונית קוראת הוראות נוספות המשותפות בשני אירועים ספציפיים בלוח השנה של גוגל. הפקודות נמצאות בשדה התיאור או באירועים מוסתרים.

כדי לשתף את התוצאות, התוכנה הזדונית תיצור אירוע חדש של דקה אפס ב-30 במאי, ותשתף את הנתונים, מוצפנים, בתיאור אירוע היומן.

מכיוון שהתוכנה הזדונית לעולם לא מותקנת בפועל בדיסק, ומכיוון שתקשורת C2 מתרחשת דרך שירות גוגל לגיטימי, רוב מוצרי האבטחה יתקשו לזהות את ההתקפה, מציעה גוגל.

כדי להתמודד עם האיום, TIG פיתחה חתימות זיהוי מותאמות אישית כדי לזהות ולחסום את התוכנה הזדונית של APT41. היא גם הסירה חשבונות Workspace ורשומות יומן קשורות. יתר על כן, הצוות עדכן את זיהוי הקבצים והוסיף דומיינים וכתובות URL זדוניות לרשימת החסימה של הגלישה הבטוחה של גוגל.

גוגל אישרה גם שלפחות כמה חברות היו מטרה: "בשיתוף פעולה עם Mandiant Consulting, GTIG הודיעה לארגונים שנפרצו", נמסר.

"סיפקנו לארגונים שקיבלו הודעה דוגמה של יומני תעבורת רשת TOUGHPROGRESS, ומידע על גורם האיום, כדי לסייע בזיהוי ובתגובה לאירועים."

לא נאמר כמה חברות הושפעו.