Google धमकी इंटेलिजेंस ग्रुप (जीटीआयजी) च्या मते, व्यक्तींकडून संवेदनशील माहिती काढण्यासाठी हॅकर्सच्या गटाद्वारे Google कॅलेंडरचा संप्रेषण चॅनेल म्हणून वापर केला जात होता. टेक जायंटच्या सायबरसुरिटी विभागाने ऑक्टोबर २०२24 मध्ये तडजोड केलेल्या सरकारी वेबसाइटचा शोध लावला आणि असे आढळले की मालवेयर याचा वापर करून पसरत आहे. एकदा मालवेयरने डिव्हाइसला संक्रमित केल्यानंतर ते Google कॅलेंडरचा वापर करून बॅकडोर तयार करेल आणि ऑपरेटरला डेटा काढण्याची परवानगी देईल. जीटीआयजीने यापूर्वीच हॅकर्सद्वारे वापरल्या जाणार्या कॅलेंडर खाती आणि इतर प्रणाली खाली आणल्या आहेत.
कमांड अँड कंट्रोल (सी 2) चॅनेलसाठी चीन-लिंक्ड हॅकर्सद्वारे वापरलेले Google कॅलेंडर
जीटीआयजी तपशीलवार मालवेयरची वितरण पद्धतते कसे कार्य केले आणि वापरकर्ते आणि त्याचे उत्पादन संरक्षित करण्यासाठी Google च्या कार्यसंघाने केलेले उपाय. या हल्ल्याशी संबंधित हॅकर एपीटी 41 असे म्हणतात, ज्याला हूडू म्हणून देखील ओळखले जाते, जो धमकी गट चीन सरकारशी जोडला गेला आहे असा विश्वास आहे.
जीटीआयजीने केलेल्या तपासणीत असे दिसून आले आहे की एपीटी 41 ने मालवेयरला लक्ष्यित करण्यासाठी मालवेयर वितरित करण्यासाठी भाला फिशिंग पद्धत वापरली. भाला फिशिंग हा फिशिंगचा एक लक्ष्यित प्रकार आहे जिथे हल्लेखोर विशिष्ट व्यक्तींना ईमेल वैयक्तिकृत करतात.
या ईमेलमध्ये तडजोड केलेल्या सरकारी वेबसाइटवर होस्ट केलेल्या झिप आर्काइव्हचा दुवा आहे. जेव्हा एखाद्या नि: संदिग्ध व्यक्तीने आर्काइव्ह उघडला, तेव्हा त्याने एक शॉर्टकट एलएनके फाइल (.lnk) दर्शविली, जी पीडीएफ, तसेच फोल्डरसारखे दिसू लागली.
मालवेयर कसे कार्य करते याचा विहंगावलोकन
फोटो क्रेडिट: जीटीआयजी
या फोल्डरमध्ये आर्थ्रोपॉड्स (कीटक, कोळी इ.) च्या सात जेपीजी प्रतिमा आहेत. जीटीआयजीने हायलाइट केले की सहाव्या आणि सातव्या नोंदी, तथापि, डिकॉइज आहेत ज्यात प्रत्यक्षात एनक्रिप्टेड पेलोड आणि डायनॅमिक लिंक लायब्ररी (डीएलएल) फाइल आहे जी पेलोड डिक्रिप्ट करते.
जेव्हा लक्ष्य एलएनके फाइलवर क्लिक करते तेव्हा ते दोन्ही फायली ट्रिगर करते. विशेष म्हणजे, एलएनके फाइल स्वयंचलितपणे स्वत: ला हटवते आणि बनावट पीडीएफने बदलली जाते, जी वापरकर्त्यास दर्शविली जाते. या फाईलमध्ये नमूद केले आहे की दर्शविलेल्या प्रजाती निर्यातीसाठी घोषित करणे आवश्यक आहे, हॅकिंगच्या प्रयत्नाचा मुखवटा घालण्याची शक्यता आहे आणि संशय वाढविणे टाळण्यासाठी.
एकदा मालवेयरने डिव्हाइसला संक्रमित केले की ते तीन वेगवेगळ्या टप्प्यात कार्य करते, जिथे प्रत्येक टप्प्यात अनुक्रमात एक कार्य केले जाते. जीटीआयजीने हायलाइट केले की शोध टाळण्यासाठी विविध स्टिल्थ तंत्रांचा वापर करून सर्व तीन अनुक्रम कार्यान्वित केले जातात.
पहिला टप्पा डिक्रिप्ट करतो आणि थेट मेमरीमध्ये प्लसड्रॉप नावाची डीएलएल फाइल चालवितो. दुसरा टप्पा कायदेशीर विंडोज प्रक्रिया सुरू करतो आणि प्रक्रिया पोकळ करतो – हल्लेखोरांनी कायदेशीर प्रक्रियेच्या वेषात दुर्भावनायुक्त कोड चालविण्यासाठी वापरलेले तंत्र – अंतिम पेलोड इंजेक्ट करण्यासाठी.
अंतिम पेलोड, टफप्रोग्रेस, डिव्हाइसवर दुर्भावनायुक्त कार्ये कार्यान्वित करते आणि Google कॅलेंडरद्वारे हल्लेखोरांशी संप्रेषण करते. हे कमांड अँड कंट्रोल (सी 2) तंत्राद्वारे कम्युनिकेशन चॅनेल म्हणून क्लाउड-आधारित अॅप वापरते.
मालवेयर हार्डकोड तारखेला (30 मे, 2023) शून्य-मिनिट कॅलेंडर इव्हेंट जोडते, जे इव्हेंटच्या वर्णन क्षेत्रात तडजोड केलेल्या संगणकावरील कूटबद्ध डेटा संचयित करते.
हे हार्डकोड तारखांवर (30 आणि 31 जुलै 2023) इतर दोन घटना देखील तयार करते, जे हल्लेखोरांना मालवेयरशी संवाद साधण्यासाठी बॅकडोर देते. या दोन घटनांसाठी टफप्रोग्रेस नियमितपणे कॅलेंडर स्कॅन करते.
जेव्हा आक्रमणकर्ता एनक्रिप्टेड कमांड पाठवितो, तेव्हा तो डिक्रिप्ट करतो आणि कमांड कार्यान्वित करतो. त्यानंतर, एन्क्रिप्टेड आउटपुटसह आणखी एक शून्य-मिनिट इव्हेंट तयार करून ते निकाल परत पाठवते.
मालवेयर मोहिमेत व्यत्यय आणण्यासाठी, जीटीआयजीने सानुकूल शोध पद्धती तयार केल्या ज्या एपीटी 41 च्या Google कॅलेंडर खाती ओळखतात आणि काढतात. या कार्यसंघाने हल्लेखोर-नियंत्रित Google वर्कस्पेस प्रकल्प देखील बंद केले आणि ऑपरेशनमध्ये वापरल्या जाणार्या पायाभूत सुविधा प्रभावीपणे अक्षम केल्या.
याव्यतिरिक्त, टेक राक्षसने त्याच्या मालवेयर शोध प्रणाली देखील अद्यतनित केल्या आणि Google सेफ ब्राउझिंगचा वापर करून दुर्भावनायुक्त डोमेन आणि URL अवरोधित केले.
जीटीआयजीने बाधित संस्थांना सूचित केले आहे आणि त्यांना मालवेयरच्या नेटवर्क रहदारीचे नमुने आणि शोध, तपासणी आणि प्रतिसाद प्रयत्नांना मदत करण्यासाठी धमकी अभिनेत्याचे तपशील दिले आहेत.
