Google Календарь полон не только событиями, но и дырами для хакерских атак

Google Календарь полон не только событиями, но и дырами для хакерских атак

Скрытые команды преступников теперь в вашем обыденном графике.

image

Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2-инфраструктуры для управления вредоносными программами. В своём последнем отчёте о киберугрозах компания указала на распространение эксплойта, использующего данную службу.

Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail. С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC, однако и реальным злоумышленникам инструмент тоже очень нравится.

По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.

Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant, входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.

GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.

В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.

Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.

В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET-бэкдора, нацеленного на Windows, под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.

«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.

Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь