Google avertizează că există riscul ca hackerii să folosească serviciul Calendar pentru a comite atacuri.
Google a avertizat că mai mulți indivizi malefici utilizează o exploatare de tip proof-of-concept (PoC) care folosește serviciul Calendar ca gazdă pentru infrastructura de comandă și control (C2).
Instrumentul, numit Google Calendar RAT (GCR), utilizează evenimentele Google Calendar pentru a rula C2 printr-un cont Gmail. Acesta a fost publicat pentru prima dată pe GitHub în iunie 2023. „Scriptul creează un „Covert Channel” prin exploatarea descrierilor evenimentelor din Google Calendar”, a declarat dezvoltatorul și cercetătorul său, cunoscut sub numele de alias online MrSaighnal. În acest fel, ținta se va conecta direct la Google.
GCR, care rulează pe un dispozitiv compromis, verifică periodic descrierea evenimentului din Calendar pentru a primi noi comenzi, execută aceste comenzi pe dispozitivul țintă și apoi actualizează descrierea evenimentului cu rezultatele comenzilor”, a spus Google. Faptul că instrumentul funcționează doar pe infrastructură legitimă face dificilă detectarea activităților suspecte pentru apărători, a adăugat acesta.
În raportul Threat Horizons, Google a menționat că nu a observat utilizarea acestei unelte în mediul real, dar a remarcat că unitatea sa de informații privind amenințările, Mandiant, a detectat mai mulți actori periculoși care distribuie Conceptul Demonstrativ al Funcționalității (PoC) pe forumurile underground.
Uneltele Covert C2 și atacurile care utilizează servicii cloud reprezintă o preocupare continuă pentru hackeri, deoarece acestea le permit să se ascundă în mediile victimelor și să evite detectarea. Un exemplu notabil este utilizarea unui backdoor mic numit BANANAMAIL pentru Windows, care utilizează e-mailul pentru comandă și control (C2). Grupul de Analiză a Amenințărilor Google a dezactivat conturile Gmail controlate de atacatori, care au fost utilizate pentru răspândirea de malware.
Jake Moore, consilier global de securitate cibernetică al ESET, susține despre această breșă de securitate: „Google Calendar se conectează la diverse aplicații terțe, ceea ce face această amenințare mult mai intruzivă. Targetarea platformelor Google poate avea implicații multiple, deoarece atât de multe alte servicii se bazează pe aplicațiile lor și interacționează cu acestea, astfel încât o vulnerabilitate va fi simțită mult mai larg.
Această exploatare poate evidenția atenția continuă a hackerilor asupra exploatării serviciilor cloud ca mijloc de integrare în mediile țintă și de a evita detectarea. Din fericire, Google a dezactivat funcția, dar este un bun avertisment pentru a verifica ce servicii sunt conectate și pentru a efectua verificări suplimentare pentru a permite conectarea aplicațiilor și a login-urilor numai cu servicii de încredere și actualizate la ultimele versiuni.”
Comentarii recente