اپلیکیشن تقویم گوگل می‌تواند توسط هکرها مورد سوءاستفاده قرار گیرد

طبق گزارش The Hacker News ، گوگل هشدار داده است که چندین عامل تهدید، اکسپلویت‌های عمومی را به اشتراک می‌گذارند که از سرویس تقویم آن برای میزبانی زیرساخت‌های فرمان و کنترل (C2) استفاده می‌کنند.

این ابزار که Google Calendar RAT (GCR) نام دارد، از ویژگی رویداد برنامه برای صدور فرمان و کنترل با استفاده از یک حساب Gmail استفاده می‌کند. این برنامه اولین بار در ژوئن 2023 در GitHub منتشر شد.

محقق امنیتی، آقای سایگنال، گفت که این کد با سوءاستفاده از توضیحات رویدادها در برنامه تقویم گوگل، یک کانال مخفی ایجاد می‌کند. گوگل در هشتمین گزارش تهدید خود اعلام کرد که استفاده از این ابزار را در فضای مجازی مشاهده نکرده است، اما خاطرنشان کرد که واحد اطلاعات تهدید Mandiant این شرکت، چندین تهدید را مشاهده کرده است که سوءاستفاده‌های اثبات مفهوم (PoC) را در انجمن‌های زیرزمینی به اشتراک گذاشته‌اند.

گوگل می‌گوید GCR روی یک دستگاه آسیب‌پذیر اجرا می‌شود و به صورت دوره‌ای شرح رویداد را برای دستورات جدید اسکن می‌کند، آنها را روی دستگاه هدف اجرا می‌کند و شرح را با دستور به‌روزرسانی می‌کند. این واقعیت که این ابزار روی زیرساخت‌های قانونی کار می‌کند، تشخیص فعالیت مشکوک را دشوار می‌کند.

این مورد بار دیگر استفاده نگران‌کننده از سرویس‌های ابری توسط عوامل تهدید برای نفوذ و پنهان شدن در دستگاه‌های قربانیان را نشان می‌دهد. پیش از این، گروهی از هکرها که گمان می‌رود با دولت ایران مرتبط باشند، از اسنادی حاوی ماکرو برای باز کردن یک در پشتی در رایانه‌های ویندوز و صدور دستورات از طریق ایمیل استفاده کردند.

گوگل اعلام کرد که این درِ پشتی از IMAP برای اتصال به یک حساب وب‌میل تحت کنترل هکر استفاده می‌کند، ایمیل‌ها را برای یافتن دستورات تجزیه و تحلیل می‌کند، آنها را اجرا می‌کند و ایمیل‌های حاوی نتایج را ارسال می‌کند. تیم تحلیل تهدید گوگل، حساب‌های جیمیل تحت کنترل مهاجم را که این بدافزار به عنوان مجرا از آنها استفاده می‌کرد، غیرفعال کرده است.