APT41 利用谷歌日历发起隐秘网络攻击

据谷歌威胁情报小组 (TIG) 称，黑客组织APT41 被发现利用谷歌日历作为其复杂的网络攻击活动的命令与控制 (C2) 通道。谷歌安全团队已拆除其基础设施，并实施了防御措施，以阻止未来类似的攻击。

此次攻击活动始于一个此前被攻破的政府网站——尽管 TIG 并未透露其是如何被攻破的——该网站托管着一个 ZIP 压缩包。该文件通过钓鱼邮件分发给目标用户。

下载后，该压缩包包含三个组件：一个可执行文件和一个伪装成图像文件的动态链接库 (DLL)，以及一个伪装成 PDF 文件的 Windows 快捷方式 (LNK)。当用户尝试打开这个伪造的 PDF 文件时，快捷方式会激活 DLL，然后解密并启动第三个包含真正恶意软件的文件，名为 ToughProgress。

攻击链

恶意软件执行后，ToughProgress 会连接到 Google 日历，检索嵌入在事件描述或隐藏日历事件中的指令。随后，该恶意软件会在 5 月 30 日创建一个零分钟日历事件，并将加密信息嵌入事件描述字段中，从而窃取被盗数据。

谷歌日历被用作C2

谷歌指出，该恶意软件的隐秘性——避免传统的文件安装并使用合法的谷歌服务进行通信——使得许多安全工具难以检测到。

为了减轻威胁，TIG 制作了特定的检测签名，禁用了威胁组织关联的工作区帐户和日历条目，更新了文件识别工具，并扩展了其安全浏览阻止列表以包括与攻击相关的恶意域和 URL。

据报道，有多家组织成为攻击目标。谷歌并未透露受影响实体的具体数量。

技术报告：

https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics

新闻链接：

https://www.cysecurity.news/2025/06/apt41-exploits-google-calendar-in.html