APT41 Gunakan Google Calendar untuk Kendalikan Malware
Kelompok peretas yang ditakutkan dan sering dikaitkan dengan Tiongkok, dikenal sebagai APT41, telah ditemukan menggunakan metode yang sangat tidak biasa untuk berkomunikasi dengan malware mereka. Mereka memanfaatkan fitur kalender dari Google Calendar sebagai saluran Command and Control (C2). Temuan ini menunjukkan betapa kreatifnya pelaku ancaman dalam menyusup dan menghindari deteksi menggunakan layanan publik yang umum digunakan.
Modus Operandi Unik via Google Calendar
Modus serangan ini terbilang cerdik. Alih-alih menggunakan server C2 tradisional yang bisa diblokir, APT41 menyematkan perintah terenkripsi di deskripsi acara pada Google Calendar. Malware yang bernama ToughProgress dirancang untuk secara berkala memeriksa acara-acara baru di kalender korban yang dibagikan secara khusus oleh APT41. Perintah atau instruksi untuk malware dienkripsi dan disembunyikan di sana.
Malware ToughProgress dan Cara Kerjanya
Malware ToughProgress adalah bagian penting dari rantai serangan ini. Setelah berhasil menginfeksi sistem, malware ini akan melakukan langkah-langkah untuk bisa “membaca” kalender yang dibagikan oleh penyerang. Informasi yang disisipkan di deskripsi acara kalender inilah yang kemudian diterjemahkan menjadi perintah untuk ToughProgress, seperti mengunduh file tambahan, menjalankan perintah pada sistem yang terinfeksi, atau mengeksfiltrasi data.
Mengapa Memilih Google Calendar?
Penggunaan layanan sah dan populer seperti Google Calendar memiliki beberapa keuntungan bagi penyerang. Pertama, lalu lintas komunikasi dengan Google Calendar akan terlihat seperti aktivitas pengguna biasa, sehingga sulit dibedakan dari traffic normal oleh solusi keamanan jaringan. Kedua, penyerang tidak perlu mengelola infrastruktur C2 mereka sendiri, yang mengurangi risiko terdeteksi dan dibongkar. Ini adalah taktik yang menunjukkan evolusi teknik yang digunakan oleh kelompok APT untuk menjaga operasi mereka tetap tersembunyi. Metode ini menjadi pengingat penting bagi organisasi untuk memantau tidak hanya lalu lintas yang mencurigakan, tetapi juga penggunaan layanan sah yang mungkin disalahgunakan.
Sumber: https://securityaffairs.com/178424/apt/china-linked-apt41-used-google-calendar-as-c2-to-control-its-toughprogress-malware.html