Скрытые команды преступников теперь в вашем обыденном графике.
Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2 -инфраструктуры для управления вредоносными программами. В своём Для просмотра ссылки Войдиили Зарегистрируйся о киберугрозах компания указала на распространение эксплойта, использующего данную службу.
Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail . С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC , однако и реальным злоумышленникам инструмент тоже очень нравится.
По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.
Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant , входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.
GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.
В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.
Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.
В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET -бэкдора, нацеленного на Windows , под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.
«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.
Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.
Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2 -инфраструктуры для управления вредоносными программами. В своём Для просмотра ссылки Войди
Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail . С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC , однако и реальным злоумышленникам инструмент тоже очень нравится.
По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.
Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant , входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.
GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.
В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.
Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.
В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET -бэкдора, нацеленного на Windows , под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.
«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.
Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.
- Источник новости
- www.securitylab.ru