Google Calendar utilizzato come Comand & Control per la gestione dei malware

L’utilizzo di sistemi legittimi, consente agli aggressori di rimanere silenti (come abbiamo visto in una nostra passata ricerca sullo sfruttamento di Gmail come C2). Pertanto lo sfruttamento dei servizi Google risulta un ottimo modo per rimanere inosservati.

Google ha segnalato un rischio associato alla possibilità che gli aggressori utilizzino il suo servizio proprietario Calendar come infrastruttura C2 per la gestione del malware. Nel suo ultimo rapporto sulle minacce informatiche, l’azienda ha notato la diffusione di un exploit che utilizza questo servizio.

Uno strumento chiamato Google Calendar RAT (GCR) utilizza gli eventi di Google Calendar per la manipolazione C2 utilizzando un account Gmail. Da giugno di quest’anno GCR è disponibile gratuitamente su GitHub come PoC, ma lo strumento piace molto anche ai veri aggressori.

Secondo lo sviluppatore dello strumento, conosciuto con lo pseudonimo di “MrSaighnal“, lo script crea un “canale nascosto” utilizzando le descrizioni degli eventi in Google Calendar. Il target si connette direttamente ai servizi Google.

Anche se non è stato ancora osservato l’uso diretto di questo strumento negli attacchi, gli specialisti di Mandiant, oggi parte di Google, hanno notato l’attività degli hacker che discutevano dell’uso di GCR nei forum clandestini.

GCR installato sulla macchina compromessa controlla periodicamente la descrizione dell’evento del calendario per verificare la presenza di nuovi comandi, li esegue e aggiorna la descrizione dell’evento con i risultati dell’esecuzione del comando, ha affermato la società.

Google ha inoltre osservato che l’esecuzione dello strumento esclusivamente su infrastrutture legittime rende difficile per i sistemi di sicurezza rilevare attività sospette.

Questo caso evidenzia il continuo interesse degli aggressori ad abusare di servizi cloud legittimi per mascherare attività dannose e aggirare i meccanismi di sicurezza.

Il rapporto di Google descriveva anche separatamente un’attività simile da parte di un gruppo nazionale iraniano che utilizzava documenti d’ufficio abilitati per le macro per iniettare una backdoor .NET mirata a Windows, nome in codice BANANAMAIL. Il malware utilizzava la posta elettronica come infrastruttura C2.

“La backdoor utilizza il protocollo IMAP per connettersi a un account webmail controllato dall’aggressore, dove analizza le e-mail alla ricerca di comandi, li esegue e invia un’e-mail con i risultati del lavoro svolto”, hanno affermato i ricercatori.

Il team di intelligence sulle minacce di Google ha segnalato il blocco riuscito degli account Gmail controllati dagli aggressori utilizzati da questo malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.