بحسب موقع "ذا هاكر نيوز" ، حذرت جوجل من أن العديد من الجهات الفاعلة في مجال التهديدات تقوم بنشر ثغرات أمنية تهدف إلى الاستفادة من خدمة التقويم الخاصة بالشركة لتخزين البنية التحتية للتحكم والسيطرة (C2).
تستخدم الأداة، المسماة Google Calendar RAT (GCR)، ميزات الأحداث في التطبيق لإصدار الأوامر والتحكم فيه عبر حساب Gmail. نُشر البرنامج لأول مرة على GitHub في يونيو 2023.
قال الباحث الأمني مستر ساينال إنّ الشفرة البرمجية تُنشئ قناة سرية باستغلال أوصاف الأحداث في تطبيق تقويم جوجل. وفي تقريرها الثامن عن التهديدات، ذكرت جوجل أنها لم ترصد استخدام هذه الأداة عمليًا، لكنها أشارت إلى أن وحدة استخبارات التهديدات التابعة لها، مانديانت، رصدت عدة تهديدات شاركت نماذج أولية لاستغلال هذه الثغرة في منتديات سرية.
يمكن استغلال تقويم جوجل كمركز قيادة وتحكم من قبل المتسللين.
تقول جوجل إن أداة GCR تعمل على جهاز مخترق، حيث تقوم دوريًا بفحص سجلات الأحداث بحثًا عن أوامر جديدة، ثم تنفذها على الجهاز المستهدف، وتُحدّث السجلات بأمر جديد. ونظرًا لأن هذه الأداة تعمل على بنية تحتية شرعية، فمن الصعب جدًا اكتشاف أي نشاط مشبوه.
تُسلط هذه القضية الضوء مجدداً على مشكلة خطيرة تتمثل في استغلال التهديدات لخدمات الحوسبة السحابية للتسلل إلى أجهزة الضحايا والتخفي داخلها. في السابق، استخدمت مجموعة قرصنة يُزعم ارتباطها بالحكومة الإيرانية مستندات تحتوي على شفرة ماكرو لفتح ثغرة أمنية في أجهزة كمبيوتر تعمل بنظام ويندوز، وأصدرت في الوقت نفسه أوامر تحكم عبر البريد الإلكتروني.
أعلنت جوجل أن الثغرة الأمنية استخدمت بروتوكول IMAP للاتصال بحسابات البريد الإلكتروني التي يتحكم بها المخترقون، حيث قامت بتحليل الرسائل الإلكترونية لاستخراج الأوامر، وتنفيذها، ثم إرسال رسائل إلكترونية تحتوي على النتائج. وقد قام فريق تحليل التهديدات في جوجل بتعطيل حسابات Gmail التي كان يتحكم بها المهاجمون والتي استخدمها البرنامج الخبيث كقناة اتصال.
رابط المصدر
تعليق (0)