По данным The Hacker News , компания Google предупредила, что многочисленные злоумышленники делятся публичными эксплойтами, которые используют ее службу календаря для размещения инфраструктуры управления и контроля (C2).
Инструмент, получивший название Google Calendar RAT (GCR), использует функцию событий приложения для отправки команд и управления через учётную запись Gmail. Программа была впервые опубликована на GitHub в июне 2023 года.
Исследователь безопасности MrSaighnal сообщил, что код создаёт скрытый канал, используя описания событий в приложении «Календарь» Google. В своём восьмом отчёте об угрозах Google заявила, что не наблюдала реального использования этого инструмента, но отметила, что её подразделение по анализу угроз Mandiant обнаружило несколько угроз, которые делились эксплойтами для проверки концепции (PoC) на подпольных форумах.
Календарь Google может быть использован хакерами в качестве центра управления
По данным Google, GCR работает на скомпрометированном компьютере, периодически сканируя описание событий на наличие новых команд, выполняя их на целевом устройстве и обновляя описание с помощью команды. Работа инструмента на легитимной инфраструктуре затрудняет обнаружение подозрительной активности.
Этот случай в очередной раз демонстрирует тревожное использование облачных сервисов злоумышленниками для проникновения и сокрытия своего присутствия на устройствах жертв. Ранее группа хакеров, предположительно связанных с иранским правительством, использовала документы, содержащие макросы, для открытия бэкдора на компьютерах Windows и отправки команд по электронной почте.
По данным Google, бэкдор использует протокол IMAP для подключения к учётной записи веб-почты, контролируемой хакером, анализирует электронные письма на предмет наличия команд, выполняет их и отправляет обратно письма с результатами. Группа анализа угроз Google отключила подконтрольные злоумышленникам учётные записи Gmail, которые вредоносная программа использовала в качестве канала.
Ссылка на источник
Комментарий (0)