🔥 Ủy ban nhân thị trấn Đăk Hà, huyện Đăk Hà, tỉnh Kon tum đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Đầu tư, khai thác thủy lợi và nước sạch nông thôn đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Chất Bình đã đăng ký tín nhiệm. 🔥                    🔥 Cổng dịch vụ công tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện 09 đã đăng ký tín nhiệm. 🔥                   

Cảnh báo: Tin tặc có thể lạm dụng Google Calendar như một kênh điều khiển tấn công

07/11/2023

Google đang cảnh báo về việc các tác nhân đe dọa chia sẻ mã khai thác (PoC) công khai nhằm lạm dụng dịch vụ Calendar để lưu trữ cơ sở hạ tầng điều khiển tấn công (C2).

Công cụ, được gọi là Google Calendar RAT (GCR), đăng ký Google Calendar Events cho C2 bằng tài khoản Gmail. Nó được chia sẻ trên GitHub từ tháng 6 năm 2023.

Theo nhà nghiên cứu Valerio Alessandroni, “tập lệnh (script) tạo ra một kênh truyền bí mật bằng cách khai thác các mô tả sự kiện trong Google Calendar. "Mục tiêu sẽ kết nối trực tiếp với Google."

Trong một báo cáo, Google cho biết họ chưa phát hiện dấu hiệu cho thấy công cụ này đã được sử dụng trong thực tế, tuy nhiên, công ty lưu ý rằng cơ quan tình báo mối đe dọa Mandiant của họ đã phát hiện một số tác nhân đe dọa chia sẻ PoC trên các diễn đàn ngầm.

Google cho biết: “GCR, chạy trên một máy bị xâm nhập, kiểm tra định kỳ mô tả sự kiện Calendar để tìm các lệnh mới, thực thi chúng trên thiết bị mục tiêu và sau đó cập nhật mô tả sự kiện bằng kết quả của lệnh”.

Công cụ này chỉ hoạt động trên cơ sở hạ tầng hợp pháp khiến các hệ thống bảo vệ khó phát hiện hoạt động đáng ngờ.

Sự phát triển này cho thấy mối quan tâm của các tác nhân đe dọa trong việc lạm dụng các dịch vụ cloud để trà trộn và ẩn nấp trong môi trường của nạn nhân.

Trong một diễn biến liên quan, các nhà nghiên cứu đã phát hiện một tác nhân đe dọa liên quan đến Iran đã sử dụng các tài liệu chứa macro độc hại để xâm phạm người dùng bằng một backdoor .NET Windows có tên là BANANAMAIL và sử dụng email cho C2.

Google cho biết “backdoor sử dụng IMAP (giao thức truy cập thư điện tử qua mạng) để kết nối với tài khoản webmail do kẻ tấn công kiểm soát, phân tích email để đọc các lệnh rồi thực thi chúng và gửi lại email chứa kết quả”.

Các tài khoản Gmail do kẻ tấn công kiểm soát đã bị Google vô hiệu hóa sau khi bị phát hiện.

Nguồn: thehackernews.com

scrolltop