Google предупреждает о множестве участников угрозы, использующих общедоступный эксплойт proof-of-concept (PoC), который использует его сервис Calendar для размещения инфраструктуры командования и управления (C2).
Инструмент под названием Google Calendar RAT (GCR) использует события Google Calendar для C2 с использованием учетной записи Gmail. Он был впервые опубликован на GitHub в июне 2023 года.
"Скрипт создает "Скрытый канал", используя описания событий в Google Calendar", - говорит его разработчик и исследователь, известный в Сети под псевдонимом MrSaighnal. "Цель подключится напрямую к Google".
Технический гигант в своем восьмом отчете Threat Horizons заявил, что не наблюдал использования инструмента в естественных условиях, но отметил, что его подразделение Mandiant threat intelligence обнаружило нескольких участников угроз, делящихся PoC на подпольных форумах.
"GCR, запущенный на взломанном компьютере, периодически проверяет описание события календаря на наличие новых команд, выполняет эти команды на целевом устройстве, а затем обновляет описание события выводом команды", - говорится в сообщении Google.
Тот факт, что инструмент работает исключительно на законной инфраструктуре, затрудняет для защитников обнаружение подозрительной активности, добавлено в нем.
Разработка подчеркивает сохраняющийся интерес злоумышленников к злоупотреблению облачными сервисами, чтобы слиться с окружением жертв и остаться незамеченными.
В том числе иранский государственный деятель, который был замечен с использованием документов с макросами для компрометации пользователей с помощью небольшого .NET бэкдора под кодовым названием BANANAMAIL для Windows, использующий электронную почту для C2.
"Бэкдор использует IMAP для подключения к контролируемой злоумышленником учетной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами", - сказали в Google.
Группа анализа угроз Google заявила, что с тех пор она отключила контролируемые злоумышленниками учетные записи Gmail, которые использовались вредоносной программой в качестве канала связи.
Инструмент под названием Google Calendar RAT (GCR) использует события Google Calendar для C2 с использованием учетной записи Gmail. Он был впервые опубликован на GitHub в июне 2023 года.
"Скрипт создает "Скрытый канал", используя описания событий в Google Calendar", - говорит его разработчик и исследователь, известный в Сети под псевдонимом MrSaighnal. "Цель подключится напрямую к Google".
Технический гигант в своем восьмом отчете Threat Horizons заявил, что не наблюдал использования инструмента в естественных условиях, но отметил, что его подразделение Mandiant threat intelligence обнаружило нескольких участников угроз, делящихся PoC на подпольных форумах.
"GCR, запущенный на взломанном компьютере, периодически проверяет описание события календаря на наличие новых команд, выполняет эти команды на целевом устройстве, а затем обновляет описание события выводом команды", - говорится в сообщении Google.
Тот факт, что инструмент работает исключительно на законной инфраструктуре, затрудняет для защитников обнаружение подозрительной активности, добавлено в нем.
Разработка подчеркивает сохраняющийся интерес злоумышленников к злоупотреблению облачными сервисами, чтобы слиться с окружением жертв и остаться незамеченными.
В том числе иранский государственный деятель, который был замечен с использованием документов с макросами для компрометации пользователей с помощью небольшого .NET бэкдора под кодовым названием BANANAMAIL для Windows, использующий электронную почту для C2.
"Бэкдор использует IMAP для подключения к контролируемой злоумышленником учетной записи веб-почты, где он анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронное письмо с результатами", - сказали в Google.
Группа анализа угроз Google заявила, что с тех пор она отключила контролируемые злоумышленниками учетные записи Gmail, которые использовались вредоносной программой в качестве канала связи.
