Dikkat! Bu yeni makûs emelli yazılım Google bilgilerinizi gaye alabilir

Google'ın Tehdit İstihbarat Kümesi (GTIG), Winnti, Brass Typhoon ve Wicked Panda olarak da bilinen makus şöhretli Çinli bilgisayar korsanı kümesi APT41'in, Google Takvim'i amaç alan TOUGHPROGRESS isimli yeni bir berbat gayeli yazılım kullandığını ortaya çıkardı.

Ekim 2024'te keşfedilen bu akın, ele geçirilen bir devlet internet sitesi üzerinden çeşitli devlet kurumlarını maksat aldı.

YENİ BERBAT EMELLİ YAZILIM GOOGLE TAKVİM'İ AMAÇ ALIYOR

APT41 tarafından kullanılan TOUGHPROGRESS berbat hedefli yazılımı, gayeli kimlik avı e-postaları aracılığıyla yayılıyor.

Kurbanlar, ele geçirilmiş bir hükümet web sitesindeki berbat maksatlı bir ZIP arşivine yönlendiriliyor; bu arşiv, PDF olarak gizlenmiş bir Windows kısayol evrakı (LNK) ve uydurma fotoğraflar içeren bir klasör barındırıyor.

Bu prosedür, kullanıcıları farkında olmadan makûs gayeli yazılımı sistemlerine bulaştırmaya yönlendiriyor.

TOUGHPROGRESS NASIL ÇALIŞIYOR

TOUGHPROGRESS makûs emelli yazılımı, data sızdırma ve komut alma maksadıyla Google Takvim etkinliklerini kullanarak faaliyet gösteriyor.

Belirli sabit kodlanmış tarihlerde, gömülü datalarla sıfır dakika müddetli olanlar da dahil olmak üzere takvim olayları oluşturup değiştiriyor; bu olaylar daha sonra yoklanarak enfekte olmuş sistemde yürütülüyor.

Bu, APT41'in Google altyapısını berbata kullandığı birinci olay değil. Küme, 2023'te de Google Drive'ı kullanarak Google E-Tablolar'dan komutları okuyan ve data sızdıran GC2 isimli bir art kapı yazılımı kullanmıştı.

Google, bu tehdidi öğrendikten sonra kampanyayı etkisiz hale getirmek için makus hedefli yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini kapattığını duyurdu. Şirket ayrıyeten etkilenen kuruluşları ihlal hakkında uyardı, fakat akının tam kapsamı şimdi bilinmiyor.