Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel
2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。
オンライン上で MrSaighnal を名乗る研究者は、「このスクリプトは、Google Calendar のイベント記述を悪用して “Covert Channel” を作成する。そして、ターゲットは、Google にダイレクトに接続している」と述べている。
同社は、第8回目の Threat Horizons レポートで、一般の脅威アクターによるツールの悪用は観察していないと述べたが、Mandiant 脅威インテリジェンス・ユニットは、アンダーグラウンドのフォーラムでの PoC 共有を観察したと指摘している。
Google は、「Google Calendar RAT は、侵害したマシン上で実行され、新しいコマンドを探すために定期的にカレンダーのイベント記述をポーリングし、それらのコマンドをターゲット・デバイス上で実行し、コマンドの出力でイベント記述を更新する。このツールは合法的なインフラ上で動作するため、防御側が不審な活動を検知するのは困難である」と述べている。
このような展開は、クラウドサービスを悪用して被害者の環境に紛れ込み、レーダーを回避するという、脅威アクターの関心を浮き彫りにしている。
BANANAMAIL というコードネームの、小さな .NET バックドアで Windows ユーザーを侵害する、イランの APT も発見されている。このケースでは、マクロが仕込まれたドキュメントを介して、C2 に電子メールが送信されている。
Google は、「このバックドアは、IMAP を使用して攻撃者が管理する Web メール・アカウントに接続し、そこで電子メールを解析してコマンドを実行し、その結果を含む電子メールを送り返す」と述べている。
Google TAG によると、マルウェアが経路として使用していた、攻撃者が管理する Gmail アカウントが無効化されたという。
Google Calendar のイベント記述を介して C2 通信とは、よく考えたものですね。個人的には、頼んでもいないイベント通知が届くのは、航空券を買ったときくらいですが、あの人たちはどのような許可を得ているのかと、不思議に思うことがあります。というか、Google は、どんな許可を大判振る舞いしているのでしょうかね? 少なくとも、スパム判定/通知の機能くらい作って欲しいです。
IoT OT Security News 
You must be logged in to post a comment.