وفقًا لموقع The Hacker News ، حذرت شركة Google من أن العديد من الجهات الفاعلة في مجال التهديد تشارك استغلالات عامة تستغل خدمة التقويم الخاصة بها لاستضافة البنية الأساسية للقيادة والتحكم (C2).
تستخدم الأداة، المسماة Google Calendar RAT (GCR)، ميزة أحداث التطبيق لإصدار الأوامر والتحكم باستخدام حساب Gmail. نُشر البرنامج لأول مرة على GitHub في يونيو 2023.
قال الباحث الأمني، السيد ساينال، إن الشيفرة تُنشئ قناةً سريةً عبر استغلال أوصاف الأحداث في تطبيق تقويم جوجل. وفي تقريرها الثامن عن التهديدات، أكدت جوجل أنها لم تُلاحظ استخدام هذه الأداة في الواقع، لكنها أشارت إلى أن وحدة استخبارات التهديدات التابعة لها "مانديانت" رصدت العديد من التهديدات التي شاركت ثغراتٍ لإثبات المفهوم (PoC) في منتديات سرية.
يمكن استغلال تقويم Google كمركز قيادة وتحكم للمتسللين
تقول جوجل إن GCR يعمل على جهاز مُخترق، ويفحص وصف الحدث دوريًا بحثًا عن أوامر جديدة، ويُنفذها على الجهاز المُستهدف، ويُحدّث الوصف بالأمر المُراد. إن تشغيل الأداة على بنية تحتية شرعية يُصعّب اكتشاف أي نشاط مُريب.
تُظهر هذه القضية مجددًا إساءة استخدام خدمات الحوسبة السحابية بشكل مُقلق من قِبل جهات التهديد للتسلل إلى أجهزة الضحايا والاختباء فيها. في السابق، استخدمت مجموعة من المتسللين، يُعتقد ارتباطهم بالحكومة الإيرانية، وثائق تحتوي على وحدات ماكرو لفتح ثغرة أمنية في أجهزة كمبيوتر تعمل بنظام ويندوز وإصدار أوامر تحكم عبر البريد الإلكتروني.
صرحت جوجل أن هذا البرنامج الخبيث يستخدم بروتوكول IMAP للاتصال بحساب بريد إلكتروني يُسيطر عليه المخترق، ويحلل رسائل البريد الإلكتروني بحثًا عن أوامر، وينفذها، ثم يرسل رسائل بريد إلكتروني تحتوي على النتائج. وقد عطّل فريق تحليل التهديدات في جوجل حسابات Gmail التي يسيطر عليها المهاجمون، والتي استخدمها البرنامج الخبيث كقناة اتصال.
[إعلان 2]
رابط المصدر
تعليق (0)