Aplikaci Kalendář Google by mohli zneužít hackeři

Podle serveru The Hacker News společnost Google varovala, že několik aktérů hackerských útoků sdílí veřejné exploity, které využívají její kalendářovou službu k hostování infrastruktury velení a řízení (C2).

Nástroj s názvem Google Calendar RAT (GCR) využívá funkci událostí aplikace k vydávání příkazů a ovládání pomocí účtu Gmail. Program byl poprvé publikován na GitHubu v červnu 2023.

Bezpečnostní výzkumník pan Saighnal uvedl, že kód vytváří skrytý kanál zneužíváním popisů událostí v aplikaci Kalendář od Googlu. Ve své osmé zprávě o hrozbách Google uvedl, že nepozoroval, že by se tento nástroj používal v praxi, ale poznamenal, že jeho jednotka pro analýzu hrozeb Mandiant zaznamenala několik hrozeb, které sdílely exploity typu proof-of-concept (PoC) na podzemních fórech.

Google uvádí, že GCR běží na napadeném počítači, pravidelně prohledává popis události a hledá nové příkazy, spouští je na cílovém zařízení a aktualizuje popis pomocí daného příkazu. Skutečnost, že nástroj funguje na legitimní infrastruktuře, ztěžuje detekci podezřelé aktivity.

Tento případ opět ukazuje znepokojivé využívání cloudových služeb hackery k infiltraci a skrytí se v zařízeních obětí. Dříve skupina hackerů, o nichž se předpokládá, že jsou napojeni na íránskou vládu , použila dokumenty obsahující makra k otevření zadních vrátek v počítačích se systémem Windows a zadávání příkazů prostřednictvím e-mailu.

Google uvedl, že backdoor používá protokol IMAP pro připojení k webovému e-mailovému účtu ovládanému hackerem, analyzuje e-maily a hledá příkazy, spouští je a odesílá zpět e-maily s výsledky. Tým pro analýzu hrozeb společnosti Google deaktivoval útočníkem ovládané účty Gmail, které malware používal jako kanál.