Dikkat! Bu yeni makûs emelli yazılım Google datalarınızı maksat alabilir

Google’ın Tehdit İstihbarat Kümesi (GTIG), Winnti, Brass Typhoon ve Wicked Panda olarak da bilinen makus şöhretli Çinli bilgisayar korsanı kümesi APT41’in, Google Takvim’i amaç alan TOUGHPROGRESS isimli yeni bir berbat maksatlı yazılım kullandığını ortaya çıkardı.

Ekim 2024’te keşfedilen bu hücum, ele geçirilen bir devlet internet sitesi üzerinden çeşitli devlet kurumlarını gaye aldı.

YENİ BERBAT HEDEFLİ YAZILIM GOOGLE TAKVİM’İ GAYE ALIYOR

APT41 tarafından kullanılan TOUGHPROGRESS makûs emelli yazılımı, amaçlı kimlik avı e-postaları aracılığıyla yayılıyor.

Kurbanlar, ele geçirilmiş bir hükümet web sitesindeki berbat hedefli bir ZIP arşivine yönlendiriliyor; bu arşiv, PDF olarak gizlenmiş bir Windows kısayol belgesi (LNK) ve geçersiz fotoğraflar içeren bir klasör barındırıyor.

Bu yol, kullanıcıları farkında olmadan berbat emelli yazılımı sistemlerine bulaştırmaya yönlendiriyor.

TOUGHPROGRESS NASIL ÇALIŞIYOR

TOUGHPROGRESS makus emelli yazılımı, bilgi sızdırma ve komut alma hedefiyle Google Takvim etkinliklerini kullanarak faaliyet gösteriyor.

Belirli sabit kodlanmış tarihlerde, gömülü bilgilerle sıfır dakika periyodik olanlar da dahil olmak üzere takvim olayları oluşturup değiştiriyor; bu olaylar daha sonra yoklanarak enfekte olmuş sistemde yürütülüyor.

Bu, APT41’in Google altyapısını berbata kullandığı birinci olay değil. Küme, 2023’te de Google Drive’ı kullanarak Google E-Tablolar’dan komutları okuyan ve bilgi sızdıran GC2 isimli bir art kapı yazılımı kullanmıştı.

Google, bu tehdidi öğrendikten sonra kampanyayı etkisiz hale getirmek için makûs gayeli yazılım tarafından kullanılan Takvim ve ilgili Workspace projelerini kapattığını duyurdu. Şirket ayrıyeten etkilenen kuruluşları ihlal hakkında uyardı, lakin taarruzun tam kapsamı şimdi bilinmiyor.