Sponzorizat de newsflash.ro
Google avertizează că mai multe persoane rău intenționate folosesc o exploatare de tip proof-of-concept (PoC) care utilizează serviciul Calendar ca și gazdă pentru infrastructura de comandă și control (C2).
Google Calendar RAT. Captură Github
Instrumentul, numit Google Calendar RAT (GCR), folosește Google Calendar Events pentru a rula C2 pe baza unui cont Gmail. Acesta a fost publicat pentru prima dată pe GitHub în iunie 2023. „Scriptul creează un „Covert Channel” prin exploatarea descrierilor evenimentelor din Google Calendar”, declară dezvoltatorul și cercetătorul său, care poartă numele de alias online MrSaighnal. Ținta se va conecta astfel direct la Google”.
GCR, care rulează pe un dispozitiv compromis, verifică periodic descrierea evenimentului din Calendar pentru comenzi noi, execută acele comenzi pe dispozitivul țintă și apoi actualizează descrierea evenimentului cu command output”, a spus Google. Faptul că instrumentul funcționează exclusiv pe infrastructură legitimă face dificil pentru apărători să detecteze activitățile suspecte, a adăugat acesta.
Google a menționat, în raportul Threat Horizons, că nu a observat utilizarea acestei unelte în mediul real, dar a notat că unitatea sa de informații privind amenințările, Mandiant, a detectat mai mulți actori periculoși care distribuie Conceptul Demonstrativ al Funcționalității (PoC) pe forumurile underground.
Uneltele Covert C2 și atacurile folosind servicii cloud reprezintă o preocupare continuă pentru hackeri, deoarece acestea le permit să se ascundă în mediile victimelor și să evite detecția. Un exemplu notabil este folosirea unui backdoor mic numit BANANAMAIL pentru Windows, care folosește e-mailul pentru comandă și control (C2). Grupul de Analiză a Amenințărilor Google a dezactivat conturile Gmail controlate de atacatori care au fost utilizate pentru răspândirea de malware.
Jake Moore, Global…
Sponzorizat de newsflash.ro
Citeste continuarea pe adevarul.ro