Google cảnh báo cách tin tặc có thể lạm dụng dịch vụ Lịch như một kênh bí mật C2

www.tuoitre.vn -   08/11/2023 08:00:00 954

Google đang cảnh báo về việc nhiều tác nhân đe dọa chia sẻ cách khai thác bằng chứng khái niệm (PoC) công khai nhằm tận dụng dịch vụ Lịch của mình để lưu trữ cơ sở hạ tầng chỉ huy và kiểm soát (C2).

Google cảnh báo cách tin tặc có thể lạm dụng dịch vụ Lịch như một kênh bí mật C2

Công cụ có tên là Lịch Google RAT (GCR), sử dụng Sự kiện trên Lịch Google cho C2 bằng tài khoản Gmail. Nó được xuất bản lần đầu tiên lên GitHub vào tháng 6 năm 2023.

Theo nhà phát triển và nhà nghiên cứu Valerio Alessandroni, người có bí danh trực tuyến MrSaighnal, “Kịch bản tạo ra một 'Kênh bí mật' bằng cách khai thác các mô tả sự kiện trong Lịch Google. "Mục tiêu sẽ kết nối trực tiếp với Google."

Gã khổng lồ công nghệ, trong Báo cáo về mối đe dọa thứ tám [PDF], cho biết họ chưa quan sát thấy việc sử dụng công cụ này trong thực tế, nhưng lưu ý rằng đơn vị tình báo mối đe dọa Mandiant của họ đã phát hiện một số tác nhân đe dọa chia sẻ PoC trên các diễn đàn ngầm.

Google cho biết: “GCR, chạy trên một máy bị xâm nhập, thăm dò định kỳ mô tả sự kiện Lịch để tìm các lệnh mới, thực thi các lệnh đó trên thiết bị mục tiêu và sau đó cập nhật mô tả sự kiện bằng đầu ra lệnh”.

Thực tế là công cụ này hoạt động độc quyền trên cơ sở hạ tầng hợp pháp khiến những người bảo vệ khó phát hiện hoạt động đáng ngờ.

Sự phát triển nêu bật mối quan tâm liên tục của các tác nhân đe dọa trong việc lạm dụng các dịch vụ đám mây để trà trộn vào môi trường nạn nhân và ẩn nấp.

Điều này bao gồm một tác nhân quốc gia Iran bị phát hiện sử dụng các tài liệu có macro để xâm phạm người dùng bằng một cửa hậu .NET nhỏ có tên mã BANANAMAIL dành cho Windows sử dụng email cho C2.

Google cho biết: “Cửa sau sử dụng IMAP để kết nối với tài khoản webmail do kẻ tấn công kiểm soát, nơi nó phân tích email để lấy lệnh, thực thi chúng và gửi lại email chứa kết quả”.

Nhóm phân tích mối đe dọa của Google cho biết họ đã vô hiệu hóa các tài khoản Gmail do kẻ tấn công kiểm soát được phần mềm độc hại sử dụng làm đường dẫn.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 23
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 31
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 29
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 17
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button