Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 7 Novembre 2023 07:44
L’utilizzo di sistemi legittimi, consente agli aggressori di rimanere silenti (come abbiamo visto in una nostra passata ricerca sullo sfruttamento di Gmail come C2). Pertanto lo sfruttamento dei servizi Google risulta un ottimo modo per rimanere inosservati.
Google ha segnalato un rischio associato alla possibilità che gli aggressori utilizzino il suo servizio proprietario Calendar come infrastruttura C2 per la gestione del malware. Nel suo ultimo rapporto sulle minacce informatiche, l’azienda ha notato la diffusione di un exploit che utilizza questo servizio.
Uno strumento chiamato Google Calendar RAT (GCR) utilizza gli eventi di Google Calendar per la manipolazione C2 utilizzando un account Gmail. Da giugno di quest’anno GCR è disponibile gratuitamente su GitHub come PoC, ma lo strumento piace molto anche ai veri aggressori.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo lo sviluppatore dello strumento, conosciuto con lo pseudonimo di “MrSaighnal“, lo script crea un “canale nascosto” utilizzando le descrizioni degli eventi in Google Calendar. Il target si connette direttamente ai servizi Google.
Anche se non è stato ancora osservato l’uso diretto di questo strumento negli attacchi, gli specialisti di Mandiant, oggi parte di Google, hanno notato l’attività degli hacker che discutevano dell’uso di GCR nei forum clandestini.
GCR installato sulla macchina compromessa controlla periodicamente la descrizione dell’evento del calendario per verificare la presenza di nuovi comandi, li esegue e aggiorna la descrizione dell’evento con i risultati dell’esecuzione del comando, ha affermato la società.
Google ha inoltre osservato che l’esecuzione dello strumento esclusivamente su infrastrutture legittime rende difficile per i sistemi di sicurezza rilevare attività sospette.
Questo caso evidenzia il continuo interesse degli aggressori ad abusare di servizi cloud legittimi per mascherare attività dannose e aggirare i meccanismi di sicurezza.
Il rapporto di Google descriveva anche separatamente un’attività simile da parte di un gruppo nazionale iraniano che utilizzava documenti d’ufficio abilitati per le macro per iniettare una backdoor .NET mirata a Windows, nome in codice BANANAMAIL. Il malware utilizzava la posta elettronica come infrastruttura C2.
“La backdoor utilizza il protocollo IMAP per connettersi a un account webmail controllato dall’aggressore, dove analizza le e-mail alla ricerca di comandi, li esegue e invia un’e-mail con i risultati del lavoro svolto”, hanno affermato i ricercatori.
Il team di intelligence sulle minacce di Google ha segnalato il blocco riuscito degli account Gmail controllati dagli aggressori utilizzati da questo malware.
RedazioneSecondo una analisi degli specialisti del Positive Technologies Expert Security Center, è stata rilevata una nuova vulnerabilità in Google Chrome monitorata con l’identificatore CVE-2...
Come abbiamo visto, è guerra informatica tra Israele ed Iran. Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israe...
Autori: Simone D’Agostino e Antonio Piovesan Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in general...
Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identi...
Roma 16/06/2025 – Red Hot Cyber annuncia con orgoglio l’uscita del quarto episodio del fumetto BETTI-RHC, dal titolo “Byte the Silence”, un’opera che ha un obiettivo...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
