Google, siber güvenlik topluluğunu, saldırganların kötü niyetli faaliyetlerini gizlemek için yerel bulut araçlarını giderek daha fazla kullandıkları konusunda uyarıyor.
Google, en son Threat Horizons raporunda, “Google Takvim RAT” adı verilen ve kırmızı ekip üyelerinin ve bilgisayar korsanlarının Google Takvim etkinliklerini komuta ve kontrol (C2) amacıyla yeniden kullanmalarına olanak tanıyan bir kavram kanıtlama (PoC) istismarını vurguladı. İlk olarak Haziran ayında GitHub’a gönderildi ve o zamandan bu yana 15 kez forklandı.
Google, bunun yaygın olarak kullanıldığını gözlemlemedi, ancak birden fazla kullanıcının onu siber suç forumlarında paylaştığını gözlemledi, bu da en azından geçici bir ilgiye işaret ediyor.
Şirket o zamandan beri bu aracı engellemek için bir düzeltme uyguladı, ancak daha fazla benzer kötü amaçlı yazılım ufukta görünebilir.
Google Cloud tehdit araştırması ve analizi başkanı Matt Shelton, “Geçmişte olduğu gibi özel C2 düğümleri kullanmak yerine, tehdit aktörlerinin arka planda saklanmak için bulut hizmetlerinden yararlandığını görüyoruz” diyor ve şunu vurguluyor: ” Her bulut hizmeti bir saldırgan tarafından müşterileri kötüye kullanmak için kullanılabilir.”
Bilgisayar korsanları bulut hizmetlerinde saklanıyor
BT araştırmacısı Valerio Alessandroni tarafından oluşturulan Google Takvim RAT, bir kırmızı ekip üyesinin veya saldırganın komuta ve kontrol (C2) amacıyla ihtiyaç duyacağı altyapıyı önemli ölçüde küçülttü.
Saldırganın bunu kullanabilmesi için yalnızca bir Google hizmet hesabı oluşturması yeterli olacaktır, ardından:
-
Onun kimlik bilgileri.json dosyasını edinin ve kötü amaçlı komut dosyasıyla aynı dizine yerleştirin.
-
Yeni bir Google takvimi oluşturun ve bunu hizmet hesabıyla paylaşın
-
Komut dosyasını takvim adresini işaret edecek şekilde düzenleyin
-
Olay açıklaması alanını kullanarak komutları yürütün
Virüs bulaşmış bir makinede çalışan RAT, periyodik olarak böyle bir komutu kontrol eder, ardından onu çalıştırır ve çıktısını aynı açıklama alanına döndürür.
Google Cloud RAT’ın en büyük gücü, yaratıcılığının yanı sıra, tamamen meşru bulut altyapısı üzerinden çalışmasıydı; bu da onu tanımlama ve önleme işini daha da zorlaştırıyordu.
Shelton, “Kötü adamların bunu kullanmasının nedeni gürültünün içinde saklanmaktır” diye açıklıyor ve bu nedenle şirketlere anormallik tabanlı izlemeye odaklanmalarını tavsiye ediyor. “Kuruluşunuzda bir tespit stratejisi oluştururken, sisteminize gelen anormallikleri ve etkinlikleri aramayı gerçekten düşünmelisiniz.”
“Bu özel kötü amaçlı yazılım hakkında yazmamızın nedeni, çok yeni olması” diye ekliyor ve yakında daha az yeni görünebileceğini belirtiyor. “Gelecek yıl göreceğimiz şeyin, bulut hizmetlerini gayri meşru amaçlarla kullanmanın yeni yollarını göreceğimizi düşünüyorum.”