APT41 Attack Detection: Chinese Hackers Exploit Google Calendar and Deliver TOUGHPROGRESS Malware Targeting Government Agencies

위협 행위자는 종종 C2(명령 및 통제)를 위해 클라우드 서비스를 악용하여 그들의 활동을 정상적이고 합법적인 트래픽으로 위장합니다. 악의적인 중국 정부 지원 APT41 해킹 집단은 해킹된 정부 웹사이트를 통해 전달되며 여러 다른 정부 기관을 대상으로 하는 TOUGHPROGRESS 악성 프로그램을 사용한 것이 관찰되었습니다. 이 공격이 다른 점은 맬웨어가 C2 운영을 위해 구글 캘린더를 사용한다는 것입니다.

APT41 공격 탐지

지정학적 긴장이 고조되는 가운데, 고급 지속 위협(APT)에 의한 위협이 심화되어 정부 지원 행위자가 제로데이 취약점, 스피어피싱, 고급 맬웨어를 이용하여 중요한 인프라, 금융 시스템 및 정부 네트워크를 점점 더 많이 대상으로 하고 있습니다.

2025 CyberThreat 보고서 에 따르면 China는 APT 분야에서 지배적인 힘으로 남아있습니다. APT40과 Mustang Panda는 가장 활발한 그룹으로, 관찰된 활동의 46%를 책임졌으며, APT41의 운영은 Q1 동안 113% 급증하여 최근 구글 캘린더 남용과 같은 캠페인의 규모와 지속성이 진화하고 있음을 강조합니다.

SOC Prime Platform에 등록 하고 AI 기반 탐지 엔지니어링, 자동 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군에 의해 지원되는 최신 APT41 캠페인에 대한 Sigma 규칙의 광범위한 컬렉션에 접근하세요. 아래의 탐지 탐색 버튼을 누르고 다양한 SIEM, EDR 및 Data Lake 솔루션과 호환되는 관련 탐지 스택으로 즉시 세부 검토하십시오. MITRE ATT&CK, 및 실행 가능한 정보로 강화되었습니다. CTI. 

탐지 탐색

중국 지원 APT41이 사용하는 TTPs를 다루는 더 많은 콘텐츠를 찾고 있는 사이버 방어자는 “APT41” 태그 를 검색하여 국가 지원 행위자에 대한 더 넓은 컬렉션을 탐색할 수 있습니다. “APT” 태그를 적용하여 검색하십시오.

위협 조사를 간소화하기 위해 보안 전문가들은 Uncoder AI – 위협 정보 기반 탐지 엔지니어링을 위한 개인 IDE & 공동 파일럿 – 을 사용할 수 있으며, AI 기능에서 토큰 한계 없이 사용할 수 있습니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화된 쿼리로 빠른 IOC 스윕을 실행하며, ATT&CK 태그를 예측하고 AI 팁으로 쿼리 코드를 최적화하며, 다양한 SIEM, EDR 및 Data Lake 언어로 번역하십시오.

예를 들어, 보안 전문가는 Google Threat Intelligence Group의 최신 APT41 캠페인에 대한 보고서에서 IOC를 수색할 수 있습니다. Uncoder AI를 사용하면 보안 전문가가 이러한 IOC를 손쉽게 구문 분석하고 선택한 SIEM 또는 EDR 플랫폼에 맞춘 사용자 정의 쿼리로 변환할 수 있습니다. on the latest APT41 campaign. With Uncoder AI, security experts can effortlessly parse these IOCs and transform them into custom queries tailored for the chosen SIEM or EDR platform.

APT41 공격 분석

수비수들은 정부 조직을 대상으로 Google 캘린더를 무기화한 China 기반 정부 지원 위협 그룹의 새로운 사이버 스파이 캠페인을 발견했습니다. 최근 보고서에서 Google 연구원들 은 활동을 APT41(aka Bronze Atlas, BARIUM, Earth Baku, Brass Typhoon, HOODOO, Wicked Panda, 또는 RedGolf)으로 귀속하며, 물류, 미디어, 자동차 및 기술과 같은 산업을 표적으로 하는 오랜 주권 지원 해킹 그룹으로 알려져 있습니다.

해당 캠페인은 10월 말 Google에 의해 탐지되었으며, 스피어피싱 이메일로 시작되어 피해자를 해킹된 정부 웹사이트에 호스팅된 맬웨어를 포함한 무장된 ZIP 파일로 이끌었습니다. 아카이브에는 폴더와 PDF 파일로 위장된 Windows 단축키(LNK)가 포함되어 있습니다. 폴더 내부에는 “1.jpg”부터 “7.jpg”까지 라벨이 붙은 절지동물 이미지로 보이는 것이 있습니다. 감염 체인은 피해자가 단축키 파일을 열었을 때 시작되며, 이는 수출 신고가 필요한 나열된 종을 주장하는 대형 PDF를 보여줍니다. 주목할 만한 것은 “6.jpg”와 “7.jpg”로 라벨이 붙은 파일은 실제 이미지가 아니라 기만의 일부로 사용됩니다. 파일 실행 후에는 ToughProgress라는 비밀 맬웨어가 시작됩니다.

맬웨어는 각기 고유한 목적을 수행하고 메모리 내 실행, 암호화, 압축, 프로세스 중합, 제어 흐름 난독화 및 C2를 위한 구글 캘린더 사용과 같은 다양한 은폐 및 회피 방법을 결합하는 세 가지 단계적 모듈로 구성됩니다. 이 세 가지 악성 모듈에는 다음 단계를 직접 메모리에 암호 해독하고 로드하는 DLL 구성 요소인 PLUSDROP, 최종 페이로드를 합법적인 svchost.exe 프로세스에 삽입하여 프로세스 중합을 수행하는 PLUSINJECT, 그리고 TOUGHPROGRESS가 감염된 Windows 기기에서 악성 활동을 실행하고 Google 캘린더를 통해 공격자와 통신하도록 사용됩니다.

ToughProgress가 다른 점은 Google 캘린더를 C2 메커니즘으로 혁신적으로 사용하는 것입니다. 맬웨어는 데이터를 교환하기 위해 이벤트를 생성하고 수정하여 공격자 제어 구글 캘린더와 상호작용합니다. 설치 후 ToughProgress는 2023년 5월 30일로 날짜가 지정된 캘린더 이벤트를 생성하고 이벤트 설명에 암호화된 추출 데이터를 포함시킵니다.

2023년 7월 30일과 31일 날짜의 캘린더 이벤트에 공격자들이 명령어를 암호화하여 삽입합니다. 맬웨어는 이러한 이벤트를 확인하고 명령을 암호 해독하여 감염된 Windows 기기에서 실행한 후 실행 결과를 새 캘린더 이벤트에 업로드하여 사이버 범죄자들이 원격으로 출력을 검색할 수 있게 합니다.

TOUGHPROGRESS 침입의 위험을 최소화하기 위한 잠재적 APT41 완화 조치로 Google은 악성 Google 캘린더 인스턴스를 감지하고 제거하며 공격자 제어 Workspace 프로젝트를 종료하기 위한 맞춤형 지문을 개발했습니다. 유해 도메인과 파일은 안전한 브라우징 차단 목록에 추가되었습니다. Mandiant와의 협력으로, 공급업체는 영향을 받은 조직에게 위협 인텔과 TOUGHPROGRESS 트래픽 샘플을 제공하여 사고 대응을 지원했습니다.

APT41과 같은 중국 정부 지원 APT 그룹이 종종 정부 기관을 대상으로 고급 은폐 및 회피 전술을 활용하여 사이버 스파이 공격을 강화함에 따라 수비수들은 이러한 발전하는 위협을 대처하기 위한 더 스마트한 전략을 점점 더 많이 모색하고 있습니다. SOC Prime은 조직이 복잡성과 세련미가 증가하는 공격을 능가할 수 있도록 AI, 자동화 및 실행 가능한 위협 인텔이 지원하는 전사적 보안을 위한 완전한 제품군을 큐레이팅합니다.