Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
L’utilizzo di sistemi legittimi, consente agli aggressori di rimanere silenti (come abbiamo visto in una nostra passata ricerca sullo sfruttamento di Gmail come C2). Pertanto lo sfruttamento dei servizi Google risulta un ottimo modo per rimanere inosservati.
Google ha segnalato un rischio associato alla possibilità che gli aggressori utilizzino il suo servizio proprietario Calendar come infrastruttura C2 per la gestione del malware. Nel suo ultimo rapporto sulle minacce informatiche, l’azienda ha notato la diffusione di un exploit che utilizza questo servizio.
Uno strumento chiamato Google Calendar RAT (GCR) utilizza gli eventi di Google Calendar per la manipolazione C2 utilizzando un account Gmail. Da giugno di quest’anno GCR è disponibile gratuitamente su GitHub come PoC, ma lo strumento piace molto anche ai veri aggressori.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo lo sviluppatore dello strumento, conosciuto con lo pseudonimo di “MrSaighnal“, lo script crea un “canale nascosto” utilizzando le descrizioni degli eventi in Google Calendar. Il target si connette direttamente ai servizi Google.
Anche se non è stato ancora osservato l’uso diretto di questo strumento negli attacchi, gli specialisti di Mandiant, oggi parte di Google, hanno notato l’attività degli hacker che discutevano dell’uso di GCR nei forum clandestini.
GCR installato sulla macchina compromessa controlla periodicamente la descrizione dell’evento del calendario per verificare la presenza di nuovi comandi, li esegue e aggiorna la descrizione dell’evento con i risultati dell’esecuzione del comando, ha affermato la società.
Google ha inoltre osservato che l’esecuzione dello strumento esclusivamente su infrastrutture legittime rende difficile per i sistemi di sicurezza rilevare attività sospette.
Questo caso evidenzia il continuo interesse degli aggressori ad abusare di servizi cloud legittimi per mascherare attività dannose e aggirare i meccanismi di sicurezza.
Il rapporto di Google descriveva anche separatamente un’attività simile da parte di un gruppo nazionale iraniano che utilizzava documenti d’ufficio abilitati per le macro per iniettare una backdoor .NET mirata a Windows, nome in codice BANANAMAIL. Il malware utilizzava la posta elettronica come infrastruttura C2.
“La backdoor utilizza il protocollo IMAP per connettersi a un account webmail controllato dall’aggressore, dove analizza le e-mail alla ricerca di comandi, li esegue e invia un’e-mail con i risultati del lavoro svolto”, hanno affermato i ricercatori.
Il team di intelligence sulle minacce di Google ha segnalato il blocco riuscito degli account Gmail controllati dagli aggressori utilizzati da questo malware.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
