Google advierte sobre piratas informáticos que secuestran el servicio Calendar como canal C2 secreto

Google advierte sobre piratas informáticos que secuestran el servicio Calendar como canal C2 secreto

6 de noviembre de 2023EscribiendoCiberataque / Seguridad en línea

Google es advertencia de múltiples actores de amenazas que comparten un exploit de prueba de concepto (PoC) público que aprovecha su servicio Calendar para alojar la infraestructura de comando y control (C2).

La herramienta, llamada RAT del Calendario de Google (GCR), utiliza Google Calendar Events para C2 usando una cuenta de Gmail. Era primera publicación en GitHub en junio de 2023.

«El script crea una ‘cadena secreta’ aprovechando las descripciones de eventos en Google Calendar», según su desarrollador e investigador, que se hace llamar MrSaighnal en línea. «El objetivo se conectará directamente con Google».

El gigante tecnológico, en su octavo informe Horizontes de Amenazasdijo que no había observado el uso de la herramienta en la naturaleza, pero señaló que su unidad de inteligencia de amenazas Mandiant había observado que PoC se compartía en foros clandestinos.

a
ciberseguridad

«GCR, que se ejecuta en una máquina comprometida, sondea periódicamente la descripción del evento del calendario en busca de nuevos comandos, ejecuta esos comandos en el dispositivo de destino y luego actualiza la descripción del evento con el resultado del comando», dijo Google.

El hecho de que la herramienta se ejecute exclusivamente en infraestructura legítima dificulta que los defensores detecten actividades sospechosas, añade.

Este desarrollo resalta el continuo interés de los actores maliciosos en abusar de los servicios en la nube para mezclarse con los entornos de las víctimas y pasar desapercibidos.

Esto incluye a un actor estatal iraní que fue descubierto usando documentos macro para comprometer a los usuarios con una pequeña puerta trasera .NET llamada BAANAMAIL para Windows que usa correo electrónico para C2.

READ  Adobe integra aún más Creative Cloud con Google Workspace

«La puerta trasera utiliza IMAP para conectarse a una cuenta de correo web controlada por un atacante, donde analiza los comandos de los correos electrónicos, los ejecuta y devuelve un correo electrónico con los resultados», dijo Google.

El grupo de análisis de amenazas de Google dijo que desde entonces deshabilitó las cuentas de Gmail controladas por los atacantes y utilizadas por el malware como conducto.

¿Te pareció interesante este artículo? siga con nosotros Gorjeo Y LinkedIn para leer más contenido exclusivo que publicamos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *