Hakkerit saattavat hyödyntää Googlen kalenterisovellusta.

Google Calendar RAT (GCR) -niminen työkalu käyttää sovelluksen tapahtumaominaisuuksia komentojen antamiseen ja sen ohjaamiseen Gmail-tilin kautta. Ohjelma julkaistiin ensimmäisen kerran GitHubissa kesäkuussa 2023.

Tietoturvatutkija MrSaighnal sanoi, että koodi luo salaisen kanavan hyödyntämällä Googlen kalenterisovelluksen tapahtumakuvauksia. Kahdeksannessa uhkaraportissaan Google sanoi, ettei se ole havainnut työkalun käyttöä käytännössä, mutta huomautti, että sen Mandiant-uhkatiedusteluyksikkö on havainnut useita uhkia, jotka ovat jakaneet konseptitodistusaineistoa (PoC) maanalaisilla foorumeilla.

Googlen mukaan GCR toimii vaarantuneella koneella, skannaa säännöllisesti tapahtumakuvaajia uusien komentojen varalta, suorittaa ne kohdelaitteella ja päivittää kuvaajia komennolla. Koska tämä työkalu toimii laillisessa infrastruktuurissa, epäilyttävän toiminnan havaitseminen on erittäin vaikeaa.

Tämä tapaus korostaa jälleen kerran hälyttävää ongelmaa pilvipalveluita väärinkäyttävistä uhkien tavoittelusta tunkeutuakseen uhrien laitteisiin ja piiloutuakseen niihin. Aiemmin hakkeriryhmä, jonka väitetään olevan yhteydessä Iranin hallitukseen, käytti makrokoodia sisältäviä asiakirjoja avatakseen takaoven Windows-tietokoneissa ja samanaikaisesti antoi ohjauskomentoja sähköpostitse.

Googlen mukaan takaovi käytti IMAP-protokollaa yhteyden muodostamiseen hakkereiden hallitsemiin web-sähköpostitileihin, analysoi sähköposteja poimimaan komentoja, suorittamaan niitä ja lähettämään takaisin sähköpostit, jotka sisälsivät tulokset. Googlen uhka-analyysitiimi poisti käytöstä hyökkääjien hallitsemat Gmail-tilit, joita haittaohjelma käytti kanavana.