وفقًا لموقع The Hacker News ، حذرت شركة Google من أن العديد من الجهات الفاعلة في مجال التهديد تشارك استغلالات عامة تستغل خدمة التقويم الخاصة بها لاستضافة البنية الأساسية للقيادة والتحكم (C2).
تستخدم الأداة، المسماة Google Calendar RAT (GCR)، ميزة أحداث التطبيق لإصدار الأوامر والتحكم باستخدام حساب Gmail. نُشر البرنامج لأول مرة على GitHub في يونيو 2023.
قال الباحث الأمني، السيد ساينال، إن الشيفرة تُنشئ قناةً سريةً عبر استغلال أوصاف الأحداث في تطبيق تقويم جوجل. وفي تقريرها الثامن عن التهديدات، أفادت جوجل بأنها لم تُلاحظ استخدام هذه الأداة في الواقع، لكنها أشارت إلى أن وحدة استخبارات التهديدات التابعة لها "مانديانت" رصدت العديد من التهديدات التي شاركت ثغراتٍ لإثبات المفهوم (PoC) في منتديات سرية.
يمكن استغلال تقويم Google كمركز قيادة وتحكم للمتسللين
تقول جوجل إن GCR يعمل على جهاز مُخترق، ويفحص وصف الحدث دوريًا بحثًا عن أوامر جديدة، ويُنفذها على الجهاز المُستهدف، ويُحدّث الوصف بالأمر المُراد. إن تشغيل الأداة على بنية تحتية شرعية يُصعّب اكتشاف أي نشاط مُريب.
تُظهر هذه الحالة مجددًا الاستخدام المقلق للخدمات السحابية من قِبل جهات التهديد للتسلل إلى أجهزة الضحايا وإخفاء أنفسهم فيها. في السابق، استخدمت مجموعة من المتسللين، يُعتقد ارتباطهم بالحكومة الإيرانية، وثائق تحتوي على وحدات ماكرو لفتح ثغرة أمنية في أجهزة كمبيوتر تعمل بنظام ويندوز، وإصدار أوامر عبر البريد الإلكتروني.
صرحت جوجل أن هذا البرنامج الخبيث يستخدم بروتوكول IMAP للاتصال بحساب بريد إلكتروني يتحكم به المخترق، ويحلل رسائل البريد الإلكتروني بحثًا عن أوامر، وينفذها، ثم يرسل رسائل بريد إلكتروني تحتوي على النتائج. وقد عطّل فريق تحليل التهديدات في جوجل حسابات Gmail التي يتحكم بها المهاجم والتي استخدمها البرنامج الخبيث كقناة اتصال.
[إعلان 2]
رابط المصدر
تعليق (0)