По данным The Hacker News , компания Google предупредила, что многочисленные злоумышленники делятся публичными эксплойтами, которые используют ее службу календаря для размещения инфраструктуры управления и контроля (C2).
Инструмент, называемый Google Calendar RAT (GCR), использует функцию событий приложения для выдачи команд и управления с использованием учетной записи Gmail. Программа была впервые опубликована на GitHub в июне 2023 года.
Исследователь безопасности MrSaighnal сказал, что код создает скрытый канал, эксплуатируя описания событий в приложении календаря Google. В своем восьмом отчете об угрозах Google заявила, что не наблюдала использования инструмента в реальных условиях, но отметила, что ее подразделение по анализу угроз Mandiant обнаружило несколько угроз, которые делились эксплойтами proof-of-concept (PoC) на подпольных форумах.
Календарь Google может использоваться хакерами в качестве центра управления и контроля
Google утверждает, что GCR работает на скомпрометированной машине, периодически сканируя описание событий на предмет новых команд, выполняя их на целевом устройстве и обновляя описание командой. Тот факт, что инструмент работает на легитимной инфраструктуре, затрудняет обнаружение подозрительной активности.
Этот случай еще раз демонстрирует тревожное использование облачных сервисов злоумышленниками для проникновения и сокрытия себя на устройствах жертв. Ранее группа хакеров, предположительно связанных с иранским правительством, использовала документы, содержащие макросы, для открытия бэкдора на компьютерах Windows и отправки команд по электронной почте.
Google заявила, что бэкдор использует IMAP для подключения к учетной записи веб-почты, контролируемой хакером, анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронные письма с результатами. Группа анализа угроз Google отключила контролируемые злоумышленником учетные записи Gmail, которые вредоносная программа использовала в качестве канала.
Ссылка на источник
Комментарий (0)