Siber Muhbir

Google Takvim RAT (GCR) adı verilen araç, bir Gmail hesabı kullanarak C2 için Google Takvim Etkinlikleri'ni kullanır. İlk olarak Haziran 2023'te GitHub'da yayınlandı.

"Komut dosyası, Google Takvim'deki etkinlik açıklamalarından yararlanarak bir 'Gizli Kanal' oluşturuyor", çevrimiçi takma adı MrSaighnal'ı kullanan geliştiricisi ve araştırmacısına göre. "Hedef doğrudan Google'a bağlanacak."

Teknoloji devi, sekizinci Threat Horizons raporunda, aracın vahşi doğada kullanıldığını gözlemlemediğini, ancak Mandiant tehdit istihbarat biriminin PoC'yi yeraltı forumlarında paylaşan birkaç tehdit aktörü tespit ettiğini belirtti.

Google, "Güvenliği ihlal edilmiş bir makinede çalışan GCR, yeni komutlar için Takvim etkinlik açıklamasını periyodik olarak yoklar, bu komutları hedef cihazda yürütür ve ardından etkinlik açıklamasını komut çıktısıyla günceller" dedi.

Aracın yalnızca meşru altyapı üzerinde çalışması, savunucuların şüpheli etkinlikleri tespit etmesini zorlaştırıyor.

Gelişme, tehdit aktörlerinin kurban ortamlarına uyum sağlamak ve radarın altında uçmak için bulut hizmetlerini kötüye kullanma konusundaki ilgisinin devam ettiğini vurguluyor.

Buna, C2 için e-posta kullanan Windows için BANANAMAIL kod adlı küçük bir .NET arka kapısı ile kullanıcıları tehlikeye atmak için makro bağcıklı belgeler kullandığı tespit edilen bir İran ulus devlet aktörü de dahildir.

Google, "Arka kapı, saldırgan tarafından kontrol edilen bir web posta hesabına bağlanmak için IMAP'yi kullanıyor ve burada e-postaları komutlar için ayrıştırıyor, yürütüyor ve sonuçları içeren bir e-postayı geri gönderiyor" dedi.

Google'ın Tehdit Analizi Grubu, o zamandan beri kötü amaçlı yazılım tarafından kanal olarak kullanılan saldırgan tarafından kontrol edilen Gmail hesaplarını devre dışı bıraktığını söyledi.