Selon The Hacker News , Google a averti que plusieurs acteurs malveillants partagent publiquement des exploits visant à exploiter son service de calendrier pour héberger une infrastructure de commande et de contrôle (C2).
Cet outil, appelé Google Calendar RAT (GCR), exploite les fonctionnalités événementielles de l'application pour envoyer des commandes et la contrôler via un compte Gmail. Le programme a été initialement publié sur GitHub en juin 2023.
Le chercheur en sécurité MrSaighnal a déclaré que le code crée un canal secret en exploitant les descriptions d'événements dans l'application Agenda de Google. Dans son huitième rapport sur les menaces, Google a indiqué n'avoir pas observé l'utilisation concrète de cet outil, mais a précisé que son unité de veille sur les menaces, Mandiant, a détecté plusieurs menaces ayant partagé des preuves de concept (PoC) d'exploitation sur des forums clandestins.
Google Agenda pourrait être exploité comme centre de commandement et de contrôle par des pirates informatiques.
Google affirme que GCR s'exécute sur une machine compromise, analysant périodiquement les descripteurs d'événements à la recherche de nouvelles commandes, les exécutant sur le périphérique cible et mettant à jour les descripteurs avec une commande. Le fait que cet outil opère sur une infrastructure légitime rend la détection d'activités suspectes très difficile.
Ce cas met une fois de plus en lumière le problème alarmant des menaces exploitant les services cloud pour s'infiltrer et se dissimuler dans les appareils des victimes. Auparavant, un groupe de pirates informatiques, prétendument lié au gouvernement iranien, avait utilisé des documents contenant du code macro pour ouvrir une porte dérobée sur des ordinateurs Windows et, simultanément, émettre des commandes de contrôle par courriel.
Google a déclaré que la porte dérobée utilisait le protocole IMAP pour se connecter à des comptes de messagerie contrôlés par des pirates informatiques, analyser les courriels afin d'en extraire des commandes, les exécuter et renvoyer des courriels contenant les résultats. L'équipe d'analyse des menaces de Google a désactivé les comptes Gmail utilisés par les attaquants comme relais du logiciel malveillant.
Lien source
Comment (0)