Aplikaci Kalendář od Googlu by mohli zneužít hackeři.

Podle serveru The Hacker News společnost Google varovala, že několik aktérů hackerských útoků veřejně sdílí exploity zaměřené na zneužití kalendářové služby společnosti k ukládání infrastruktury velení a řízení (C2).

Nástroj s názvem Google Calendar RAT (GCR) využívá funkce událostí aplikace k vydávání příkazů a jejímu ovládání prostřednictvím účtu Gmail. Program byl poprvé publikován na GitHubu v červnu 2023.

Bezpečnostní výzkumník pan Saighnal uvedl, že kód vytváří tajný kanál zneužíváním popisů událostí v aplikaci Kalendář od Googlu. Ve své osmé zprávě o hrozbách Google uvedl, že nepozoroval, že by se tento nástroj v praxi používal, ale poznamenal, že jeho jednotka pro analýzu hrozeb Mandiant detekovala několik hrozeb, které sdílely exploity typu proof-of-concept (PoC) na podzemních fórech.

Google uvádí, že GCR běží na napadeném počítači, pravidelně prohledává deskriptory událostí a hledá nové příkazy, spouští je na cílovém zařízení a aktualizuje deskriptory pomocí příkazu. Skutečnost, že tento nástroj funguje na legitimní infrastruktuře, velmi ztěžuje detekci podezřelé aktivity.

Tento případ opět zdůrazňuje alarmující problém hrozeb zneužívajících cloudové služby k infiltraci a skrytí v zařízeních obětí. Hackerská skupina údajně napojená na íránskou vládu dříve použila dokumenty obsahující makro kód k otevření zadních vrátek v počítačích se systémem Windows a současně zadávala řídicí příkazy e-mailem.

Google uvedl, že backdoor používal IMAP k připojení k webmailovým účtům ovládaným hackery, analyzoval e-maily za účelem extrahování příkazů, jejich provádění a odesílání zpět e-mailů s výsledky. Tým pro analýzu hrozeb Googlu deaktivoval účty Gmail ovládané útočníky, které malware používal jako kanál.