Скрытые команды преступников теперь в вашем обыденном графике.
Корпорация Google сообщила о риске, связанном с возможностью использования злоумышленниками фирменного сервиса Календарь в качестве C2-инфраструктуры для управления вредоносными программами. В своём последнем отчёте о киберугрозах компания указала на распространение эксплойта, использующего данную службу.
Инструмент под названием Google Calendar RAT (GCR) применяет события в календаре Google для C2-манипуляций с помощью аккаунта Gmail. С июня этого года GCR находится в свободном доступе на GitHub в качестве PoC, однако и реальным злоумышленникам инструмент тоже очень нравится.
По словам разработчика инструмента, известного под псевдонимом «MrSaighnal», скрипт создаёт «скрытый канал» путём использования описаний событий в Календаре Google. Цель подключается непосредственно к сервисам Google.
Хотя прямого использования этого инструмента в атаках ещё не наблюдалось, специалисты компании Mandiant, входящей в состав Google, отметили активность хакеров, обсуждающих использование GCR на подпольных форумах.
GCR, установленный на скомпрометированной машине, периодически проверяет описание событий календаря на предмет новых команд, выполняет их и обновляет описание события результатами выполнения команд, сообщили в компании.
В Google также отметили, что работа инструмента исключительно на легитимной инфраструктуре затрудняет обнаружение подозрительной активности защитными системами.
Данный случай подчёркивает продолжающийся интерес злоумышленников к злоупотреблению законными облачными сервисами для маскировки вредоносной активности и обхода защитных механизмов.
В отчёте Google также отдельно описали похожую активность иранской национальной группировки, которая использовала офисные документы с поддержкой макросов для внедрения .NET-бэкдора, нацеленного на Windows, под кодовым названием BANANAMAIL. В качестве C2-инфраструктуры вредонос использовал электронную почту.
«Бэкдор использует протокол IMAP для подключения к контролируемой злоумышленником учётной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами проделанной работы», — сообщили исследователи.
Группа анализа угроз Google сообщила об успешной блокировке аккаунтов Gmail, контролируемых злоумышленниками, которые использовались данной вредоносной программой.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале