APT41攻撃の検知：中国ハッカーがGoogleカレンダーを悪用し、政府機関を標的にしたTOUGHPROGRESSマルウェアを配信

脅威アクターは、正常で正当なトラフィックとして行動を偽装するために、クラウドサービスをC2に利用することがよくあります。中国政府支援の悪意のある APT41 ハッキング集団は、ハッキングされた政府ウェブサイトを経由して配信されるTOUGHPROGRESSという悪意のあるストレインを使用し、複数の他の政府機関を標的にしていることが観察されています。この攻撃を際立たせているのは、マルウェアがC2操作にGoogleカレンダーを使用していることです。

APT41攻撃を検出

地政学的緊張の高まりの中で、Advanced Persistent Threat（APT）の脅威は増大しており、国家支援のアクターがゼロデイ・エクスプロイトやスピアフィッシング、先進的なマルウェアを使用して、重要なインフラ、金融システム、政府ネットワークをますます標的にしています。

2025年の CyberThreatレポートによると Trellixは、APTの分野で中華人民共和国が支配的な力であるとしています。APT40とMustang Pandaは最も活発なグループであり、観察された活動の46％を占めています。一方、APT41の活動は第1四半期に113％増加し、Googleカレンダーを悪用した最新のマルウェア分配など、キャンペーンの進化の規模と持続性を強調しています。

SOC Primeプラットフォームに登録 して、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出のための完全な製品スイートでサポートされる、APT41の最新キャンペーンに対応する広範なSigmaルールのコレクションにアクセスできます。下の 検出を探る ボタンを押して、複数のSIEM、EDR、データレイクソリューションに対応する関連した検出スタックにすぐにドリルダウンしてください。これは MITRE ATT&CKと一致しており、実行可能な CTI. 

検出を探る

中国支援のAPT41が使用するTTPに対応するコンテンツを探しているサイバー防御者は 「APT41」タグ を利用して脅威検出マーケットプレイスをブラウズするか、 「APT」 タグを検索して国家主体のアクターに対する広範なコレクションを探ってください。

脅威調査を効率化するために、セキュリティ専門家は Uncoder AI – 脅威を重視した検出エンジニアリングのためのプライベートIDE＆コ・パイロット – を使用することができます。AI機能にトークン制限がなくなった今、脅威レポートから検出アルゴリズムを生成し、IOCを迅速にスイープして最適化されたクエリに変換し、ATT&CKタグを予測し、AIのヒントでクエリコードを最適化し、複数のSIEM、EDR、データレイク言語に跨って翻訳します。

例えば、セキュリティ専門家はGoogle脅威インテリジェンスグループの レポート による最新のAPT41キャンペーンからIOCを狩り出すことができます。Uncoder AIを使用することで、これらのIOCを簡単に解析し、選択したSIEMまたはEDRプラットフォーム用にカスタムクエリに変換することができます。

APT41攻撃分析

防御者たちは、中国に拠点を置く国家支援の脅威グループによる新たなサイバー諜報活動キャンペーンを発見しました。このグループはGoogleカレンダーを武器化して政府機関を標的にしました。最近のレポートでは、 Googleの研究者 は、この活動をAPT41（別名：Bronze Atlas、BARIUM、Earth Baku、Brass Typhoon、HOODOO、Wicked Panda、RedGolf）に帰し、このグループは長年にわたり外国政府や物流、メディア、自動車、技術などの分野を標的にしてきたことが知られています。

このキャンペーンは、Googleによって10月下旬に検出され、スピアフィッシングメールから始まります。被害者が武器化されたZIPファイルに誘導され、その中のマルウェアはハッキングされた政府ウェブサイト上にホストされています。このアーカイブにはフォルダとPDFファイルを装ったWindowsショートカット（LNK）が含まれています。フォルダ内には「1.jpg」から「7.jpg」とラベル付けされた節足動物の画像と思われるものがあり、感染の流れは被害者がショートカットファイルを開くことから始まります。このファイルは、輸出する種を申告する必要があると主張するダミーのPDFを表示します。特に「6.jpg」と「7.jpg」とラベル付けされたファイルは実際の画像ではなく、欺瞞の一部として使用されます。実行されると、ファイルはToughProgressと呼ばれる隠密なマルウェアを起動します。

このマルウェアは、それぞれ異なる目的を持つ3つの連続したモジュールで構成されており、インメモリ実行、暗号化、圧縮、プロセスホローイング、制御フロー難読化、GoogleカレンダーのC2としての使用など、様々なステルスとエバージョン手法を組み込んでいます。これら3つの悪意のあるモジュールには、次のステージをメモリに直接復号化してロードする役割を持つDLLコンポーネントとしてのPLUSDROP、最終ペイロードを正当なsvchost.exeプロセスに注入してプロセスホローイングを行うPLUSINJECT、そして感染したWindowsマシンで悪意のある活動を実行し、攻撃者とGoogleカレンダーを通じて通信する TOUGHPROGRESSが含まれます。

ToughProgressを際立たせるのは、GoogleカレンダーをC2メカニズムとして革新的に使用する点です。このマルウェアは、攻撃者がコントロールするGoogleカレンダーとイベントを作成および変更することによってデータ交換を円滑にします。インストールされると、ToughProgressは2023年5月30日に日付が設定されたカレンダーイベントを作成し、そのイベントの説明内に暗号化された外部送信データを埋め込みます。

暗号化されたコマンドは、攻撃者によって2023年7月30日および31日に日付設定されたカレンダーイベントに埋め込まれます。このマルウェアはこれらのイベントを確認し、コマンドを復号化して感染したWindowsマシンで実行し、その実行結果を新たなカレンダーイベントにアップロードすることで、サイバー犯罪者がリモートで出力を取得できるようにします。

TOUGHPROGRESSの侵入リスクを最小限に抑えるための潜在的なAPT41の軽減措置として、 Googleは 悪意のあるGoogleカレンダーインスタンスを検出して削除し、攻撃者がコントロールするWorkspaceプロジェクトを終了するためのカスタムフィンガープリントを開発しました。有害なドメインやファイルもSafe Browsingのブロックリストに追加されました。Mandiantと協力して、ベンダーは影響を受けた組織に通知を行い、インシデント対応を支援するために脅威インテルとTOUGHPROGRESSのトラフィックサンプルを提供しました。

中国の国家支援のAPTグループ、APT41のようなグループがサイバー諜報を加速させ、政府機関を頻繁に標的にし、先進的なステルス技術とエバージョン戦術を使用する中、守備者たちはこれらの進化する脅威に対抗するためのよりスマートな戦略をますます模索しています。SOC Primeは エンタープライズセキュリティのための完全な製品スイート を提供しており、AI、自動化、実行可能な脅威インテリジェンスを背景に、複雑化し洗練化する攻撃をアウトスケールするのを助けています。