كشفت مجموعة جوجل لاستخبارات التهديدات (GTIG)، أن تقويم جوجل استُخدم كقناة اتصال من قِبل مجموعة من المتسللين لاستخراج معلومات حساسة من الأفراد.

وفي أكتوبر 2024، اكتشف قسم الأمن السيبراني في شركة التكنولوجيا العملاقة موقعًا إلكترونيًا حكوميًا مُخترقًا، ووجد أنه يُستخدم لنشر برمجيات خبيثة، وبمجرد إصابة الجهاز، يُنشئ البرنامج الخبيث منفذًا خلفيًا باستخدام تقويم جوجل، مما يسمح للمُشغّل باستخراج البيانات، وقد قامت مجموعة جوجل بالفعل بتعطيل حسابات التقويم والأنظمة الأخرى التي استخدمها المتسللون.

وفصّل فريق GTIG طريقة نشر البرمجية الخبيثة ، وكيفية عملها، والإجراءات التي اتخذها فريق جوجل لحماية المستخدمين ومنتجاتها ، ويُقال إن المخترق المرتبط بهذا الهجوم هو APT41، المعروفة أيضًا باسم HOODOO، وهي جماعة تهديد يُعتقد أنها مرتبطة بالحكومة الصينية.

وكشف تحقيق أجرته GTIG أن APT41 استخدمت أسلوب التصيد الاحتيالي الموجه لإيصال البرامج الضارة إلى الأهداف ، والتصيد الاحتيالي الموجه هو شكل مستهدف من التصيد الاحتيالي، حيث يُخصّص المهاجمون رسائل بريد إلكتروني لأفراد محددين. 

واحتوت هذه الرسائل الإلكترونية على رابط لملف ZIP مُستضاف على الموقع الإلكتروني الحكومي المُخترق ، وعندما فتح شخصٌ الملف، أظهر ملف اختصار LNK (.lnk)، مُموّهًا ليبدو كملف PDF، بالإضافة إلى مجلد.

واحتوى هذا المجلد على سبع صور JPG لمفصليات (حشرات وعناكب، إلخ). لكن GTIG لفتت إلى أن المدخلين السادس والسابع هما صورتان وهميتان تحتويان في الواقع على حمولة مشفرة وملف مكتبة ارتباط ديناميكي (DLL) لفك تشفير الحمولة. 

وعندما يضغط الهدف على ملف LNK، يُفعّل كلا الملفين ، ومن المثير للاهتمام أن ملف LNK يُحذف تلقائيًا ويُستبدل بملف PDF مزيف يُعرض للمستخدم ، ويُشير هذا الملف إلى ضرورة الإعلان عن الأنواع المعروضة للتصدير، وذلك على الأرجح لإخفاء محاولة الاختراق وتجنب إثارة الشكوك.

وبمجرد إصابة الجهاز بالبرمجيات الخبيثة، تعمل على ثلاث مراحل مختلفة، حيث تُنفّذ كل مرحلة مهمةً بالتسلسل ، وقد بيّنت GTIG أن جميع المراحل الثلاث تُنفّذ باستخدام تقنيات تخفي متنوعة لتجنب الكشف. 

المرحلة الأولى فك تشفير ملف DLL باسم PLUSDROP وتشغيله مباشرةً في الذاكرة ، المرحلة الثانية تُشغّل عملية Windows شرعية وتُجري عملية تفريغ للبرامج وهي تقنية يستخدمها المهاجمون لتشغيل برمجيات خبيثة متخفيةً في صورة عملية شرعية لحقن الحمولة النهائية.

الحمولة النهائية، TOUGHPROGRESS، تُنفّذ مهامًا خبيثة على الجهاز وتتواصل مع المُهاجم عبر تقويم جوجل ، وتستخدم التطبيق السحابي كقناة اتصال عبر تقنية القيادة والتحكم (C2). 

عندما يرسل المهاجم أمرًا مشفّرًا، فإنه يفك تشفيره وينفّذه ، ثم يرسل النتيجة بإنشاء حدث جديد في الدقيقة صفر مع المخرجات المشفّرة.

ولتعطيل حملة البرمجيات الخبيثة، ابتكر فريق GTIG أساليب كشف مخصصة لتحديد حسابات تقويم جوجل التابعة لـ APT41 وإزالتها ، كما أغلق الفريق مشاريع جوجل وورك سبيس التي يسيطر عليها المهاجم، مما أدى فعليًا إلى تعطيل البنية التحتية المستخدمة في العملية. 

بالإضافة إلى ذلك، قامت شركة التكنولوجيا العملاقة أيضًا بتحديث أنظمة اكتشاف البرامج الضارة الخاصة بها وحظرت المجالات وعناوين URL الضارة باستخدام التصفح الآمن من Google.
كما قامت GTIG بإخطار المؤسسات المتضررة، وزودتها بعينات من حركة مرور الشبكة الخاصة بالبرامج الضارة وتفاصيل حول الجهة المسؤولة عن التهديد للمساعدة في جهود الكشف والتحقيق والاستجابة.