Google'ın Tehdit İstihbarat Grubu (GTIG), Çinli APT41 hacker grubunun Google Takvim’i kullanarak yeni bir siber saldırı kampanyası başlattığını duyurdu. "TOUGHPROGRESS" adı verilen kötü amaçlı yazılım, Ekim 2024’te keşfedildi ve hedefli kimlik avı e-postaları yoluyla yayılıyor.
Saldırının ilk adımında, kurbanlar ele geçirilmiş bir devlet internet sitesine yönlendiriliyor. Bu sitede barındırılan sahte bir ZIP arşivi içinde PDF gibi görünen ancak gerçekte Windows kısayolu (LNK) olan bir dosya yer alıyor. Dosya açıldığında, PLUSDROP, PLUSINJECT ve TOUGHPROGRESS’in yüklenmesini içeren çok aşamalı bir enfeksiyon süreci başlıyor.
GOOGLE TAKVİM, VERİ SIZDIRMAK VE KOMUT ALMAK İÇİN KULLANILIYOR
TOUGHPROGRESS'in en dikkat çeken özelliği, Google Takvim üzerinden çalışması. Yazılım, belirli tarihlerde sıfır dakika süresiyle oluşturulmuş ve gömülü veri içeren etkinlikleri kullanarak sistemden bilgi sızdırabiliyor ya da saldırganlardan gelen komutları alabiliyor.
Saldırganlar, bu yöntemle geleneksel güvenlik sistemlerini aşmayı ve Google altyapısının güvenilirliğinden faydalanarak uzun süre fark edilmeden sistemlere sızmayı hedefliyor.
Bu, APT41'in Google hizmetlerini kötüye kullandığı ilk vaka değil. 2023 yılında da benzer bir yöntemle Google Drive ve Google E-Tablolar kullanılarak gerçekleştirilen GC2 adlı bir saldırı aracı tespit edilmişti.
GOOGLE MÜDAHALE ETTİ, ANCAK RİSK DEVAM EDİYOR
Google, tehdit tespit edildikten sonra hızla harekete geçti ve saldırganların kullandığı Google Takvim projeleri ile Workspace altyapısını kapattı. Ayrıca, etkilenen kurumlara yönelik bilgilendirme ve güvenlik uyarıları gönderildi.
Yine de saldırının tam kapsamı henüz netlik kazanmış değil. Güvenlik uzmanları, bu tür saldırıların giderek daha sofistike hale geldiğine dikkat çekerek, kullanıcıların özellikle e-posta ve dosya eklerine karşı dikkatli olması gerektiğini vurguluyor.