Présentation générale de l'attaque
Le groupe APT41, aussi connu sous les noms Winnti Group, Barium, ou Axiom, est un groupe de cybermenace soutenu par l'État chinois. En octobre 2024, une campagne à base de spear phishing a été détectée par le GTIG (Google Threat Intelligence Group’s) où les attaquants exploitaient Google Calendar comme canal de commande et de contrôle (C2).
Chaîne d'infection
La campagne débutait par un e-mail de phishing contenant une archive ZIP hébergée sur un site gouvernemental compromis. Cette archive comprenait :
- Un fichier LNK (lien) déguisé en PDF
- Deux fichiers images .jpg (chargeur du malware TOUGHPROGRESS et DLL malveillante)
Le clic sur le fichier déclenchait l’infection tout en affichant un document PDF factice.
Fonctionnement du malware TOUGHPROGRESS
Le malware est structuré en trois modules principaux :
- Module d’initialisation : Vérifie l’environnement cible.
- Module de persistance : Utilise l’API Google Calendar pour les communications C2.
- Module final : Exécute des fonctions d’espionnage et de vol de données.
Ce mode opératoire permet de contourner efficacement les systèmes de détection traditionnels tels que les antivirus, la communication du malware avec l'extérieur s'effectuant au travers de commandes Google Calendar.
Secteurs ciblés
Les attaques ont visé des institutions et entreprises dans les domaines suivants :
- Gouvernements
- Technologie
- Logistique
- Médias
- Industrie automobile
Les opérations se sont étendues à l’échelle mondiale, notamment en Asie, en Europe et en Amérique du Nord.
Réponse de Google et leçons à tirer
Google a interrompu l'opération en bloquant l'infrastructure et en renforçant ses outils de protection, notamment Safe Browsing. Cette campagne illustre l’importance croissante de surveiller les usages détournés des services cloud dans les menaces modernes.
Le rapport technique de Google est disponible en anglais ici
Articles
Aucun commentaire:
Enregistrer un commentaire