Google, Bilgisayar Korsanlarının Takvim Hizmetini Gizli Bir C2 Kanalı Olarak Nasıl Kötüye Kullanabileceği Konusunda Uyardı
Google, komuta ve kontrol (C2) altyapısını barındırmak için Takvim hizmetinden yararlanan herkese açık bir kavram kanıtı (PoC) açığını paylaşan birden fazla tehdit aktörü konusunda uyarıyor.
Google Takvim RAT (GCR) adı verilen araç, bir Gmail hesabı kullanarak C2 için Google Takvim Etkinlikleri'ni kullanır. İlk olarak Haziran 2023'te GitHub'da yayınlandı.
"Komut dosyası, Google Takvim'deki etkinlik açıklamalarından yararlanarak bir 'Gizli Kanal' oluşturuyor", çevrimiçi takma adı MrSaighnal'ı kullanan geliştiricisi ve araştırmacısına göre. "Hedef doğrudan Google'a bağlanacak."
Teknoloji devi, sekizinci Threat Horizons raporunda, aracın vahşi doğada kullanıldığını gözlemlemediğini, ancak Mandiant tehdit istihbarat biriminin PoC'yi yeraltı forumlarında paylaşan birkaç tehdit aktörü tespit ettiğini belirtti.
Google, "Güvenliği ihlal edilmiş bir makinede çalışan GCR, yeni komutlar için Takvim etkinlik açıklamasını periyodik olarak yoklar, bu komutları hedef cihazda yürütür ve ardından etkinlik açıklamasını komut çıktısıyla günceller" dedi.
Aracın yalnızca meşru altyapı üzerinde çalışması, savunucuların şüpheli etkinlikleri tespit etmesini zorlaştırıyor.
Gelişme, tehdit aktörlerinin kurban ortamlarına uyum sağlamak ve radarın altında uçmak için bulut hizmetlerini kötüye kullanma konusundaki ilgisinin devam ettiğini vurguluyor.
Buna, C2 için e-posta kullanan Windows için BANANAMAIL kod adlı küçük bir .NET arka kapısı ile kullanıcıları tehlikeye atmak için makro bağcıklı belgeler kullandığı tespit edilen bir İran ulus devlet aktörü de dahildir.
Google, "Arka kapı, saldırgan tarafından kontrol edilen bir web posta hesabına bağlanmak için IMAP'yi kullanıyor ve burada e-postaları komutlar için ayrıştırıyor, yürütüyor ve sonuçları içeren bir e-postayı geri gönderiyor" dedi.
Google'ın Tehdit Analizi Grubu, o zamandan beri kötü amaçlı yazılım tarafından kanal olarak kullanılan saldırgan tarafından kontrol edilen Gmail hesaplarını devre dışı bıraktığını söyledi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı