اپلیکیشن تقویم گوگل می‌تواند توسط هکرها مورد سوءاستفاده قرار گیرد.

طبق گزارش The Hacker News ، گوگل هشدار داده است که چندین عامل تهدید، به‌طور عمومی سوءاستفاده‌هایی را با هدف سوءاستفاده از سرویس تقویم این شرکت برای ذخیره زیرساخت‌های فرمان و کنترل (C2) به اشتراک می‌گذارند.

این ابزار که Google Calendar RAT (GCR) نام دارد، از ویژگی‌های رویداد برنامه برای صدور دستورات و کنترل آن از طریق یک حساب Gmail استفاده می‌کند. این برنامه اولین بار در ژوئن 2023 در GitHub منتشر شد.

محقق امنیتی، آقای سایگنال، گفت که این کد با سوءاستفاده از توضیحات رویداد در برنامه تقویم گوگل، یک کانال مخفی ایجاد می‌کند. گوگل در هشتمین گزارش تهدید خود اعلام کرد که استفاده از این ابزار را در عمل مشاهده نکرده است، اما خاطرنشان کرد که واحد اطلاعات تهدید Mandiant این شرکت، چندین تهدید را شناسایی کرده است که سوءاستفاده‌های اثبات مفهوم (PoC) را در انجمن‌های زیرزمینی به اشتراک گذاشته‌اند.

Ứng dụng Calendar của Google có thể bị hacker lợi dụng - Ảnh 1. — تقویم گوگل می‌تواند توسط هکرها به عنوان یک مرکز فرماندهی و کنترل مورد سوء استفاده قرار گیرد.

گوگل می‌گوید GCR روی یک دستگاه آسیب‌پذیر اجرا می‌شود و به صورت دوره‌ای توصیف‌گرهای رویداد را برای دستورات جدید اسکن می‌کند، آنها را روی دستگاه هدف اجرا می‌کند و توصیف‌گرها را با یک دستور به‌روزرسانی می‌کند. این واقعیت که این ابزار روی زیرساخت‌های قانونی کار می‌کند، تشخیص فعالیت مشکوک را بسیار دشوار می‌کند.

این پرونده بار دیگر مسئله نگران‌کننده تهدیدهایی را برجسته می‌کند که از سرویس‌های ابری برای نفوذ و پنهان شدن در دستگاه‌های قربانیان سوءاستفاده می‌کنند. پیش از این، یک گروه هکری که گفته می‌شود با دولت ایران مرتبط است، از اسنادی حاوی کد ماکرو برای باز کردن یک در پشتی در رایانه‌های ویندوز استفاده کرده و همزمان از طریق ایمیل دستورات کنترلی را صادر می‌کرد.

گوگل اظهار داشت که این درِ پشتی از IMAP برای اتصال به حساب‌های وب‌میل تحت کنترل هکرها استفاده می‌کرد، ایمیل‌ها را برای استخراج دستورات، اجرای آنها و ارسال ایمیل‌های حاوی نتایج تجزیه و تحلیل می‌کرد. تیم تجزیه و تحلیل تهدید گوگل، حساب‌های جیمیل تحت کنترل مهاجمان را که بدافزار از آنها به عنوان مجرا استفاده می‌کرد، غیرفعال کرد.

لینک منبع