Новости Google Календарь полон не только событиями, но и дырами для хакерских атак

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Скрытые команды преступников теперь в вашем обыденном графике.


meh2w2rqv9qgyeayvja10it2c5bno4tf.jpg


Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2 -инфраструктуры для управления вредоносными программами. В своём Для просмотра ссылки Войди или Зарегистрируйся о киберугрозах компания указала на распространение эксплойта, использующего данную службу.

Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail . С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC , однако и реальным злоумышленникам инструмент тоже очень нравится.

По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.

Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant , входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.

GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.

В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.

Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.

В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET -бэкдора, нацеленного на Windows , под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.

«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.

Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.
 
Источник новости
www.securitylab.ru

Похожие темы