Google Календарь полон не только событиями, но и дырами для хакерских атак

Google Google Календарь Google Calendar RAT GCR C2 PoC IMAP Gmail BANANAMAIL .NET Windows Mandiant GitHub Иран
Google Календарь полон не только событиями, но и дырами для хакерских атак
Google Google Календарь Google Calendar RAT GCR C2 PoC IMAP Gmail BANANAMAIL .NET Windows Mandiant GitHub Иран

Скрытые команды преступников теперь в вашем обыденном графике.

image

Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2-инфраструктуры для управления вредоносными программами. В своём последнем отчёте о киберугрозах компания указала на распространение эксплойта, использующего данную службу.

Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail. С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC, однако и реальным злоумышленникам инструмент тоже очень нравится.

По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.

Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant, входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.

GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.

В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.

Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.

В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET-бэкдора, нацеленного на Windows, под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.

«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.

Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

Новый троян Brokewell превращает Android-смартфон в инструмент слежки

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

Комментарии в коде как оружие: ошибка в GitLab позволяет скрытно заражать разработчиков

Microsoft не смогла изъять свою новую модель WizardLM 2 из публичного доступа

Google Meet расширяет границы: теперь общаться можно и без аккаунта Google

APT29 атакует пользователей Windows через лазейку в Диспетчере очереди печати

Санкции и награда за голову: США объявляет войну иранским хакерам

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе