Nyheter
Advarsel: Hackere utnytter Google Kalender i nytt og avansert cyberangrep
Hackere bruker nå Google Kalender for å infiltrere enheter. Stort sett virksomheter som er rammet.
Et nytt og sofistikert cyberangrep har blitt avslørt, der kinesiske statstilknyttede hackere benytter Google Kalender som en del av infrastrukturen sin for å styre og kontrollere ondsinnet programvare.
Ifølge Googles egen trusselgruppe, Threat Intelligence Group (TIG), er det hackergruppen APT41 som står bak metoden. Gruppen har tatt i bruk Google Kalender som en såkalt C2-kanal (Command and Control) for å sende og motta kommandoer i det skjulte.
Utspekulert metode
Angrepet starter fra et allerede kompromittert nettsted, eid av en offentlig instans. Nettstedet ble brukt til å spre et ZIP-arkiv, som sendes til ofre gjennom målrettede phishing-eposter. Innholdet i arkivet består av tre filer: en DLL- og en kjørbar fil forkledd som bilder, samt en snarvei (LNK) som utgir seg for å være et PDF-dokument. Det skriver trend.
Når offeret forsøker å åpne den falske PDF-filen, aktiveres snarveien som starter DLL-filen. Denne dekrypterer og aktiverer deretter hoveddelen av angrepet – en ondsinnet kode kalt ToughProgress.
Les også: Teknologien i hjemmet som sluker strøm: slik stopper du det
Programvaren henter så videre instruksjoner fra to bestemte kalenderoppføringer i Google Kalender. Kommandoene er enten skjult i beskrivelsesfeltet eller i selve arrangementet.
For å sende ut stjålne data, lager malwaren en ny kalenderhendelse med null varighet datert 30. mai, hvor informasjonen overføres kryptert via beskrivelsen i kalenderoppføringen.
Vanskelig å oppdage
Ettersom programvaren aldri installeres fysisk på harddisken og bruker en legitim Google-tjeneste for kommunikasjon, er det svært utfordrende for tradisjonelle sikkerhetsverktøy å oppdage angrepet.
Google har derfor iverksatt flere tiltak: De har utviklet egne signaturer for å identifisere og blokkere koden, fjernet berørte Google Workspace-kontoer og kalenderoppføringer, samt oppdatert sin Safe Browsing-liste med skadelige domener og URL-er.
Google bekreftet også at flere virksomheter ble rammet. Sammen med sikkerhetsselskapet Mandiant varslet de de berørte organisasjonene og delte blant annet nettverkstrafikkanalyse og informasjon om trusselaktøren APT41.
Hvor mange virksomheter som er rammet, er foreløpig ikke kjent.
Glemte funksjoner i Windows datamaskinen din: de fleste aner ikke at de finnes
5 japanske biler du bør unngå å kjøpe
Slik misbruker apper tillatelsene dine: og slik stopper du det
iPhone-designeren: – Menneskeheten fortjener bedre teknologi
Amerikansk advokat straffet etter å ha brukt ChatGPT med falske rettskilder
Siste sjanse: Fra 31. mai er bare disse fire pengesedlene tillatt
Den største strømtyven på kjøkkenet: Bruker tre ganger mer strøm enn et kjøleskap
Ser du en gul klut på en motorsykkel? Da bør du vite hva det betyr
Viktig melding fra Google: Alle Gmail-brukere må endre dette
