Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 7 Novembre 2023 07:44
L’utilizzo di sistemi legittimi, consente agli aggressori di rimanere silenti (come abbiamo visto in una nostra passata ricerca sullo sfruttamento di Gmail come C2). Pertanto lo sfruttamento dei servizi Google risulta un ottimo modo per rimanere inosservati.
Google ha segnalato un rischio associato alla possibilità che gli aggressori utilizzino il suo servizio proprietario Calendar come infrastruttura C2 per la gestione del malware. Nel suo ultimo rapporto sulle minacce informatiche, l’azienda ha notato la diffusione di un exploit che utilizza questo servizio.
Uno strumento chiamato Google Calendar RAT (GCR) utilizza gli eventi di Google Calendar per la manipolazione C2 utilizzando un account Gmail. Da giugno di quest’anno GCR è disponibile gratuitamente su GitHub come PoC, ma lo strumento piace molto anche ai veri aggressori.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo lo sviluppatore dello strumento, conosciuto con lo pseudonimo di “MrSaighnal“, lo script crea un “canale nascosto” utilizzando le descrizioni degli eventi in Google Calendar. Il target si connette direttamente ai servizi Google.
Anche se non è stato ancora osservato l’uso diretto di questo strumento negli attacchi, gli specialisti di Mandiant, oggi parte di Google, hanno notato l’attività degli hacker che discutevano dell’uso di GCR nei forum clandestini.
GCR installato sulla macchina compromessa controlla periodicamente la descrizione dell’evento del calendario per verificare la presenza di nuovi comandi, li esegue e aggiorna la descrizione dell’evento con i risultati dell’esecuzione del comando, ha affermato la società.
Google ha inoltre osservato che l’esecuzione dello strumento esclusivamente su infrastrutture legittime rende difficile per i sistemi di sicurezza rilevare attività sospette.
Questo caso evidenzia il continuo interesse degli aggressori ad abusare di servizi cloud legittimi per mascherare attività dannose e aggirare i meccanismi di sicurezza.
Il rapporto di Google descriveva anche separatamente un’attività simile da parte di un gruppo nazionale iraniano che utilizzava documenti d’ufficio abilitati per le macro per iniettare una backdoor .NET mirata a Windows, nome in codice BANANAMAIL. Il malware utilizzava la posta elettronica come infrastruttura C2.
“La backdoor utilizza il protocollo IMAP per connettersi a un account webmail controllato dall’aggressore, dove analizza le e-mail alla ricerca di comandi, li esegue e invia un’e-mail con i risultati del lavoro svolto”, hanno affermato i ricercatori.
Il team di intelligence sulle minacce di Google ha segnalato il blocco riuscito degli account Gmail controllati dagli aggressori utilizzati da questo malware.
RedazioneUna nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
