Google Календарь оказался инструментом для кибершпионажа

Хакеры из группировки APT41, связанной с Китаем, нашли новый способ управления вредоносным ПО — через события в Google Календаре. Об этом сообщается в официальном блоге Google Cloud Threat Intelligence.

По данным аналитиков Google, атака началась в октябре 2024 года и предположительно нацеливалась на госучреждения и частные компании по всему миру. Злоумышленники рассылали вредоносный архив с ярлыком LNK, замаскированным под PDF-файл, и зашифрованными компонентами трояна TOUGHPROGRESS. После заражения компьютер подключался к Google Calendar, получая команды через специально созданные события.

Такая схема позволяла скрыть трафик между жертвой и командным сервером среди легитимных сетевых запросов. Сам троян внедрялся в системный процесс, шифровал трафик и выполнял инструкции хакеров в обход традиционных средств обнаружения.

Google совместно с Mandiant смогла заблокировать вредоносные календари, остановить распространение атаки и уведомить затронутые организации. Тем не менее, в компании подчеркивают: использование популярных облачных сервисов в качестве инфраструктуры атак становится всё более частым — и требует особого внимания со стороны ИБ-специалистов.