Google informou hoje ter descoberto a ação de hackers usando seu serviço de calendário para ajudar a organizar ataques furtivos contra agências governamentais. O Google afirma suspeitar que eles são apoiados pela República Popular da China. Esse grupo de hackers, o APT41, tem usado um novo malware chamado ‘ToughProgress’. É ele que explora o Google Agenda para operações de comando e controle (C2), ocultando atividades maliciosas por trás de um serviço de nuvem confiável.
Leia também
Grupo caça credenciais de VPN da Fortinet
Hackers da China atacaram Congresso dos EUA
No final de outubro do ano passado, o Google Threat Intelligence Group afirmou ter “descoberto um site governamental explorado que hospedava malware, sendo usado para atingir diversas outras entidades governamentais”, escreveu Patrick Whitsell, da empresa, em uma publicação no blog . O site explorado distribuía malware que a empresa apelidou de TOUGHPROGRESS, que se aproveitava do Google Agenda para comando e controle (C2) para se camuflar em atividades autênticas.
O Google determinou “com grande confiança” que o grupo por trás dos ataques era o APT41, uma organização ligada ao Ministério da Segurança do Estado da China, conhecida também por uma série de outros nomes, como Wicked Panda, Winnti e Double Dragon.
“Para interromper o malware APT41 e TOUGHPROGRESS, desenvolvemos impressões digitais personalizadas para identificar e remover calendários controlados por invasores”, escreveu Whitsell. “Também encerramos projetos do Workspace controlados por invasores, desmantelando efetivamente a infraestrutura da qual o APT41 dependia para esta campanha. Além disso, atualizamos as detecções de arquivos e adicionamos domínios e URLs maliciosos à lista de bloqueio do Navegação Segura do Google.”
