Google предупреждает о том, что хакеры используют службу календаря как скрытый канал C2

06 ноября 2023 г.Отдел новостейКибератака/Интернет-безопасность

Google это предупреждение Несколько злоумышленников совместно используют общедоступный эксплойт для проверки концепции (PoC), который использует службу календаря для размещения инфраструктуры управления и контроля (C2).

Инструмент, названный Календарь Google RAT (GCR), использует события Календаря Google для C2 с использованием учетной записи Gmail. Это было впервые опубликовано на GitHub в июне 2023 г.

«Скрипт создает «скрытый канал», используя описания событий в Календаре Google», — утверждает его разработчик и исследователь, известный под псевдонимом MrSaighnal. «Цель будет напрямую подключаться к Google».

Технический гигант в своем восьмой отчет «Горизонты угроз»заявила, что не наблюдала использования этого инструмента в реальных условиях, но отметила, что ее подразделение по разведке угроз Mandiant наблюдало распространение PoC на подпольных форумах.

«GCR, работающий на взломанной машине, периодически опрашивает описание событий календаря на наличие новых команд, выполняет эти команды на целевом устройстве, а затем обновляет описание события с помощью вывода команды», — заявили в Google.

Он добавил, что тот факт, что инструмент работает исключительно на легальной инфраструктуре, затрудняет обнаружение подозрительной активности защитниками.

Это событие подчеркивает сохраняющийся интерес злоумышленников к злоупотреблению облачными сервисами, чтобы слиться с окружением жертвы и остаться незамеченным.

В их число входит иранский субъект национального государства, который был замечен в использовании документов с макросами для компрометации пользователей с помощью небольшого бэкдора .NET под кодовым названием BANANAMAIL для Windows, который использует электронную почту для C2.

«Бэкдор использует IMAP для подключения к учетной записи веб-почты, контролируемой злоумышленником, где он анализирует электронные письма на наличие команд, выполняет их и отправляет обратно электронное письмо с результатами», — заявили в Google.

Группа анализа угроз Google заявила, что с тех пор отключила контролируемые злоумышленниками учетные записи Gmail, которые использовались вредоносным ПО в качестве канала передачи данных.