Google đang cảnh báo về việc các tác nhân đe dọa chia sẻ mã khai thác (PoC) công khai nhằm lạm dụng dịch vụ Calendar để lưu trữ cơ sở hạ tầng điều khiển tấn công (C2).
Công cụ, được gọi là Google Calendar RAT (GCR), đăng ký Google Calendar Events cho C2 bằng tài khoản Gmail. Nó được chia sẻ trên GitHub từ tháng 6 năm 2023.
Theo nhà nghiên cứu Valerio Alessandroni, “tập lệnh (script) tạo ra một kênh truyền bí mật bằng cách khai thác các mô tả sự kiện trong Google Calendar. "Mục tiêu sẽ kết nối trực tiếp với Google."
Trong một báo cáo, Google cho biết họ chưa phát hiện dấu hiệu cho thấy công cụ này đã được sử dụng trong thực tế, tuy nhiên, công ty lưu ý rằng cơ quan tình báo mối đe dọa Mandiant của họ đã phát hiện một số tác nhân đe dọa chia sẻ PoC trên các diễn đàn ngầm.
Google cho biết: “GCR, chạy trên một máy bị xâm nhập, kiểm tra định kỳ mô tả sự kiện Calendar để tìm các lệnh mới, thực thi chúng trên thiết bị mục tiêu và sau đó cập nhật mô tả sự kiện bằng kết quả của lệnh”.
Công cụ này chỉ hoạt động trên cơ sở hạ tầng hợp pháp khiến các hệ thống bảo vệ khó phát hiện hoạt động đáng ngờ.
Sự phát triển này cho thấy mối quan tâm của các tác nhân đe dọa trong việc lạm dụng các dịch vụ cloud để trà trộn và ẩn nấp trong môi trường của nạn nhân.
Trong một diễn biến liên quan, các nhà nghiên cứu đã phát hiện một tác nhân đe dọa liên quan đến Iran đã sử dụng các tài liệu chứa macro độc hại để xâm phạm người dùng bằng một backdoor .NET Windows có tên là BANANAMAIL và sử dụng email cho C2.
Google cho biết “backdoor sử dụng IMAP (giao thức truy cập thư điện tử qua mạng) để kết nối với tài khoản webmail do kẻ tấn công kiểm soát, phân tích email để đọc các lệnh rồi thực thi chúng và gửi lại email chứa kết quả”.
Các tài khoản Gmail do kẻ tấn công kiểm soát đã bị Google vô hiệu hóa sau khi bị phát hiện.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về hoạt động khai thác liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa
Tín nhiệm mạng | Có tới 34 Windows Driver dễ bị tấn công, có thể bị các tác nhân đe dọa khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.
Tín nhiệm mạng | Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Data Center Confluence có thể dẫn đến việc mất dữ liệu đáng kể nếu bị kẻ tấn công khai thác.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Tín nhiệm mạng | Theo các nhà nghiên cứu gian lận tiền điện tử, tin tặc đã đánh cắp 4,4 triệu đô tiền điện tử vào ngày 25 tháng 10 bằng cách sử dụng các khóa bí mật và mật khẩu được lưu trong cơ sở dữ liệu LastPass bị đánh cắp.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
