جوجل تغلق برنامج خبيث استغل تقويم جوجل لسرقة البيانات

كشفت مجموعة جوجل لاستخبارات التهديدات (GTIG) أن تقويم جوجل استُخدم كقناة اتصال من قِبل مجموعة من المتسللين لاستخراج معلومات حساسة من الأفراد.

وفي أكتوبر 2024 اكتشف قسم الأمن السيبراني في شركة التكنولوجيا العملاقة موقعًا إلكترونيًا حكوميًا مخترقًا ووجد أنه يستخدم لنشر برمجيات خبيثة.

وبمجرد إصابة الجهاز ينشئ البرنامج الخبيث منفذًا خلفيًا باستخدام تقويم جوجل مما يسمح للمشغل باستخراج البيانات وقد قامت مجموعة جوجل بالفعل بتعطيل حسابات التقويم والأنظمة الأخرى التي استخدمها المتسللون.

وفصل فريق GTIG طريقة نشر البرمجية الخبيثة وكيفية عملها والإجراءات التي اتخذها فريق جوجل لحماية المستخدمين ومنتجاتها ويقال إن المخترق المرتبط بهذا الهجوم هو APT41 المعروفة أيضًا باسم HOODOO وهي جماعة تهديد يعتقد أنها مرتبطة بالحكومة الصينية.

وكشف تحقيق أجرته GTIG أن APT41 استخدمت أسلوب التصيد الاحتيالي الموجه لإيصال البرامج الضارة إلى الأهداف والتصيد الاحتيالي الموجه هو شكل مستهدف من التصيد الاحتيالي حيث يخصّص المهاجمون رسائل بريد إلكتروني لأفراد محددين.

واحتوت هذه الرسائل الإلكترونية على رابط لملف ZIP مستضاف على الموقع الإلكتروني الحكومي المخترق وعندما فتح شخص الملف أظهر ملف اختصار (.lnk) مموهًا ليبدو كملف PDF بالإضافة إلى مجلد.

واحتوى هذا المجلد على سبع صور JPG لمفصليات (حشرات وعناكب، إلخ) لكن GTIG لفتت إلى أن المدخلين السادس والسابع هما صورتان وهميتان تحتويان في الواقع على حمولة مشفرة وملف مكتبة ارتباط ديناميكي (DLL) لفك تشفير الحمولة. 

وعندما يضغط الهدف على ملف LNK يفعل كلا الملفين ومن المثير للاهتمام أن ملف LNK يحذف تلقائيًا ويستبدل بملف PDF مزيف يعرض للمستخدم ويشير هذا الملف إلى ضرورة الإعلان عن الأنواع المعروضة للتصدير وذلك على الأرجح لإخفاء محاولة الاختراق وتجنب إثارة الشكوك.

وبمجرد إصابة الجهاز بالبرمجيات الخبيثة تعمل على ثلاث مراحل مختلفة حيث تنفذ كل مرحلة مهمة بالتسلسل وقد بينت GTIG أن جميع المراحل الثلاث تنفذ باستخدام تقنيات تخفي متنوعة لتجنب الكشف. 

المرحلة الأولى فك تشفير ملف DLL باسم PLUSDROP وتشغيله مباشرةً في الذاكرة المرحلة الثانية تشغل عملية Windows شرعية وتجري عملية تفريغ للبرامج وهي تقنية يستخدمها المهاجمون لتشغيل برمجيات خبيثة متخفيةً في صورة عملية شرعية لحقن الحمولة النهائية.

الحمولة النهائية TOUGHPROGRESS تنفذ مهامًا خبيثة على الجهاز وتتواصل مع المهاجم عبر تقويم جوجل وتستخدم التطبيق السحابي كقناة اتصال عبر تقنية القيادة والتحكم (C2). 

عندما يرسل المهاجم أمرًا مشفّرًا فإنه يفك تشفيره وينفذه ثم يرسل النتيجة بإنشاء حدث جديد في الدقيقة صفر مع المخرجات المشفرة.

ولتعطيل حملة البرمجيات الخبيثة ابتكر فريق GTIG أساليب كشف مخصصة لتحديد حسابات تقويم جوجل التابعة لـ APT41 وإزالتها كما أغلق الفريق مشاريع جوجل وورك سبيس التي يسيطر عليها المهاجم مما أدى فعليًا إلى تعطيل البنية التحتية المستخدمة في العملية. 

بالإضافة إلى ذلك قامت شركة التكنولوجيا العملاقة أيضًا بتحديث أنظمة اكتشاف البرامج الضارة الخاصة بها وحظرت المجالات وعناوين URL الضارة باستخدام التصفح الآمن من Google.

كما قامت GTIG بإخطار المؤسسات المتضررة وزودتها بعينات من حركة مرور الشبكة الخاصة بالبرامج الضارة وتفاصيل حول الجهة المسؤولة عن التهديد للمساعدة في جهود الكشف والتحقيق والاستجابة.