Redazione RHC : 7 Novembre 2023 07:44
L’utilizzo di sistemi legittimi, consente agli aggressori di rimanere silenti (come abbiamo visto in una nostra passata ricerca sullo sfruttamento di Gmail come C2). Pertanto lo sfruttamento dei servizi Google risulta un ottimo modo per rimanere inosservati.
Google ha segnalato un rischio associato alla possibilità che gli aggressori utilizzino il suo servizio proprietario Calendar come infrastruttura C2 per la gestione del malware. Nel suo ultimo rapporto sulle minacce informatiche, l’azienda ha notato la diffusione di un exploit che utilizza questo servizio.
Uno strumento chiamato Google Calendar RAT (GCR) utilizza gli eventi di Google Calendar per la manipolazione C2 utilizzando un account Gmail. Da giugno di quest’anno GCR è disponibile gratuitamente su GitHub come PoC, ma lo strumento piace molto anche ai veri aggressori.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo lo sviluppatore dello strumento, conosciuto con lo pseudonimo di “MrSaighnal“, lo script crea un “canale nascosto” utilizzando le descrizioni degli eventi in Google Calendar. Il target si connette direttamente ai servizi Google.
Anche se non è stato ancora osservato l’uso diretto di questo strumento negli attacchi, gli specialisti di Mandiant, oggi parte di Google, hanno notato l’attività degli hacker che discutevano dell’uso di GCR nei forum clandestini.
GCR installato sulla macchina compromessa controlla periodicamente la descrizione dell’evento del calendario per verificare la presenza di nuovi comandi, li esegue e aggiorna la descrizione dell’evento con i risultati dell’esecuzione del comando, ha affermato la società.
Google ha inoltre osservato che l’esecuzione dello strumento esclusivamente su infrastrutture legittime rende difficile per i sistemi di sicurezza rilevare attività sospette.
Questo caso evidenzia il continuo interesse degli aggressori ad abusare di servizi cloud legittimi per mascherare attività dannose e aggirare i meccanismi di sicurezza.
Il rapporto di Google descriveva anche separatamente un’attività simile da parte di un gruppo nazionale iraniano che utilizzava documenti d’ufficio abilitati per le macro per iniettare una backdoor .NET mirata a Windows, nome in codice BANANAMAIL. Il malware utilizzava la posta elettronica come infrastruttura C2.
“La backdoor utilizza il protocollo IMAP per connettersi a un account webmail controllato dall’aggressore, dove analizza le e-mail alla ricerca di comandi, li esegue e invia un’e-mail con i risultati del lavoro svolto”, hanno affermato i ricercatori.
Il team di intelligence sulle minacce di Google ha segnalato il blocco riuscito degli account Gmail controllati dagli aggressori utilizzati da questo malware.
RedazioneUn nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
