Google: hackers gebruikten Calendar om geïnfecteerde systemen te beheren

Beveiligingsonderzoekers van Google hebben ontdekt dat hackers Calendar gebruikten voor de command-and-control van met malware besmette systemen. De techgigant vermoedt dat de malware afkomstig is van de Chinese hackersgroep APT41. Google heeft maatregelen genomen om soortgelijke aanvallen te voorkomen.

Volgens een blogpost ontdekte Googles Threat Intelligence Group in oktober 2024 dat 'een gehackte overheidswebsite' werd gebruikt om andere overheidsinstanties te infecteren met malware. Zo stuurde APT41, ook bekend als HOODOO, phishingmails met een link naar de getroffen overheidswebsite, om slachtoffers een zipbestand te laten downloaden. Daarin zit een vermomd lnk-bestand, waarbij een dll-bestand de malware activeert.

De schadelijke software, genaamd TOUGHPROGRESS, maakt gebruik van Google Calendar om te communiceren met de hackers. Dat gebeurt door het aanmaken van gebeurtenissen met speciale code in de beschrijving. De malware op het geïnfecteerde systeem leest die code uit om vervolgens instructies uit te voeren.

GTIG kon in samenwerking met Mandiant FLARE het encryptieprotocol reverse-engineeren. Hierdoor kon Google unieke factoren bepalen om schadelijke Calendars te identificeren. De techgigant haalde vervolgens alle gerelateerde Workspace-projecten offline, waardoor APT41 er geen gebruik meer van kan maken. Het bedrijf nam ook contact op met de getroffen instanties om verdere maatregelen te nemen.

Reacties (16)

wildhagen

Malware
Cybercrime
Hackers
Beveiliging en antivirus
Google

30 mei 2025 15:48

APT41 is een groep die al een hele tijd actief is. In ieder geval zijn ze in 2012 al gesignaleerd, mogelijk nog langer geleden.

Ze doen overigens niet alleen aan cyberspionage, er lijkt ook een financieel motief te worden gehanteerd voor hun acties:

Target sectors: APT41 has directly targeted organizations in at least 14 countries dating back to as early as 2012. The group’s espionage campaigns have targeted healthcare, telecoms, and the high-tech sector, and have historically included stealing intellectual property. Their cyber crime intrusions are most apparent among video game industry targeting, including the manipulation of virtual currencies, and attempted deployment of ransomware. APT41 operations against higher education, travel services, and news/media firms provide some indication that the group also tracks individuals and conducts surveillance.

Overview: APT41 is a prolific cyber threat group that carries out Chinese state-sponsored espionage activity in addition to financially motivated activity potentially outside of state control.

Associated malware: APT41 has been observed using at least 46 different code families and tools.

Attack vectors: APT41 often relies on spear phishing emails with attachments, such as compiled HTML (.chm) files, to initially compromise their victims. Once in a victim organization, APT41 can leverage more sophisticated TTPs and deploy additional malware. For example, in a campaign running almost a year, APT41 compromised hundreds of systems and used close to 150 unique pieces of malware, including backdoors, credential stealers, keyloggers, and rootkits. APT41 has also deployed rootkits and Master Boot Record (MBR) bootkits on a limited basis to hide their malware and maintain persistence on select victim systems.

Google heeft ook iets meer info over deze APT's in zijn algemeenheid: https://cloud.google.com/...urces/insights/apt-groups en over APT41 is in het bijzonder: https://cloud.google.com/...and-cyber-crime-operation

[Reactie gewijzigd door wildhagen op 30 mei 2025 15:48]

NotWise @wildhagen • 30 mei 2025 16:28

Een financieel motief is er zeker.

Hier zie je een video waarbij de hackers van Evil Corp zich lekker aan het vermaken zijn. Ze worden beschermd en werken voor de Russische overheid, ze kunnen alleen het land niet uit.

https://x.com/nca_uk/status/1202644233586393088

[Reactie gewijzigd door NotWise op 30 mei 2025 16:32]

Kip 30 mei 2025 16:41

Het is misschien niet voor iedereen vanzelfsprekend, maar het idee achter het gebruik van Google Calendar voor "command and control"-verkeer is om beveiligingsproducten te omzeilen. Denk aan een web gateway met TLS inspectie. Hierbij wordt een legitieme webdienst misbruikt om kwaadaardig verkeer te verbergen, waardoor detectie en/of blokkering wordt bemoeilijkt.
Sommige beveiligingsproducten gaan zelfs zo ver dat ze webdiensten op nieuwe domeinen blokkeren, puur omdat die pas enkele uren eerder zijn geregistreerd. Het gebruikt van dit soort diensten lost dat probleem ook op.
In het verleden zijn vergelijkbare technieken toegepast met onder andere GitHub Gist, YouTube-comments en Facebook.
Een bijkomend probleem is dat breed gebruikte diensten zoals deze lastig te blokkeren zijn, vanwege de mogelijke negatieve impact op de bedrijfsvoering.

darknessblade 30 mei 2025 15:45

Dit is ook waarom google en Microsoft moeten uitschakelen dat invites/events automatisch aan calendars worden toegevoegd. of dat gebruikers aan een calendar groep kunnen worden toegevoegd.

Dit soort exploits zijn EXTREEM gemakkelijk te voorkomen, door simpelweg het onmogelijk te maken dat gebruikers automatisch de malware in hun Calendar krijgen

Raymond Deen @darknessblade • 30 mei 2025 15:49

Sterker nog, Outlook voegt zelfs invites toe aan je kalender wanneer de invite zelf in de spamfolder is terecht gekomen

Heb zelf een tijdje van die vervelende antivirus herinneringen op m’n mobiel gehad op die manier van zogenaamd mcafee.

darknessblade @Raymond Deen • 30 mei 2025 15:55

IDD. had hier 1.5 jaar geleden ook last van.

moest in de instellingen van outlook mezelf uit die lijst verwijderen omdat het anders terug kwam

Rogers @Raymond Deen • 30 mei 2025 18:55

Krijg al maandan elke dag mcafee phishing mails. Microsoft is echt een ramp met filtreren.

thomasiee @Rogers • 30 mei 2025 22:29

hm goed om te weten

Rogers @thomasiee • 30 mei 2025 22:30

Genoeg om te reageren

thomasiee @Rogers • 31 mei 2025 14:54

Mag toch??

waterijsje @Rogers • 31 mei 2025 15:14

Zer0 @darknessblade • 30 mei 2025 15:57

Dit is geen exploit, en wat jij wil heeft er totaal geen impact op. De agenda wordt gebruikt voor communicatie, niet voor de exploit.
Er wordt ook niet gebruik gemaakt van een agenda van de gebruiker zelf.

Keypunchie

Malware

@darknessblade • 30 mei 2025 17:50

Ook schandalig brutaal: acquisiteurs die een uitnodiging meesturen.

“Dear Keypunchie, I mailed you last week about our bullshit-as-a-service proposition, but it must’be slipped your attention. Lets meet this monday at 10:00am and I’ll tell all about how our bullshit-as-a-service is an industry leader and will make you a made up percentage more effective!”

Nee, ik heb je spam niet gemist, ik heb het direct naar de prullenbak doorgestuurd, en nu gaat het hele domein van jouw bedrijf per direct op mijn blocklist.

[Reactie gewijzigd door Keypunchie op 30 mei 2025 17:51]

kuurtjes 30 mei 2025 16:40

Dit soort technieken maken het gemakkelijker om langs firewalls te geraken en om onopgemerkt te blijven in bedrijfsnetwerken. calender.google.com is immers meestal gewhitelist en lijkt legitiem.

Keypunchie

Malware

@kuurtjes • 30 mei 2025 20:41

Dat domein werkt niet hoor. calendar.google.com wel ;-)

Guru Evi 30 mei 2025 21:44

Het feit dat je het equivalent van een symlink kan downloaden en dat hieraan niet alleen de symlink maar ook een reeks opties (eigenlijk het equivalent van een alias aan je shell toevoegen), en daarop het feit dat je een linked library als executable aanziet dat een gebruiker kan uitvoeren is volgens mij een van de grootste problemen met hoe Microsoft over beveiliging denkt. Ik zie zelfs lnk bestanden op SMB shares staan en Windows volgt dit gewoon.

Een gemakkelijke oplossingen: dll bestanden mogen niet uitgevoerd worden. lnk mogen geen opties bevatten.

[Reactie gewijzigd door Guru Evi op 30 mei 2025 21:46]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (16)

Sorteer op:

Weergave: