אפליקציית היומן של גוגל עלולה להיות מנוצלת על ידי האקרים.

[מודעה_1]

על פי The Hacker News , גוגל הזהירה כי מספר גורמים פוטנציאליים משתפים בפומבי פרצות איום שמטרתן למנף את שירות היומן של החברה לאחסון תשתית פיקוד ובקרה (C2).

הכלי, שנקרא Google Calendar RAT (GCR), משתמש בתכונות האירועים של האפליקציה כדי להוציא פקודות ולשלוט בה דרך חשבון Gmail. התוכנית פורסמה לראשונה ב-GitHub ביוני 2023.

חוקר האבטחה מר סאיגלנל אמר שהקוד יוצר ערוץ סודי על ידי ניצול תיאורי אירועים באפליקציית היומן של גוגל. בדוח האיומים השמיני שלה, גוגל אמרה שלא צפתה בכלי בשימוש בפועל, אך ציינה שיחידת מודיעין האיומים שלה, Mandiant, זיהתה מספר איומים ששיתפו פרצות הוכחת היתכנות (PoC) בפורומים מחתרתיים.

Ứng dụng Calendar của Google có thể bị hacker lợi dụng - Ảnh 1. — יומן גוגל עלול להיות מנוצל כמרכז פיקוד ובקרה על ידי האקרים.

גוגל טוענת ש-GCR פועל על מכונה פרוצה, סורק מעת לעת תיאורי אירועים לאיתור פקודות חדשות, מבצע אותן במכשיר היעד ומעדכן את התיאורים באמצעות פקודה. העובדה שכלי זה פועל על תשתית לגיטימית מקשה מאוד על זיהוי פעילות חשודה.

מקרה זה מדגיש שוב את הבעיה המדאיגה של איומים המנצלים שירותי ענן כדי לחדור ולהסתתר בתוך מכשירי הקורבנות. בעבר, קבוצת האקרים שלכאורה קשורה לממשלת איראן השתמשה במסמכים המכילים קוד מאקרו כדי לפתוח דלת אחורית במחשבי Windows, ובמקביל הנפיקה פקודות בקרה באמצעות דואר אלקטרוני.

גוגל הצהירה כי הדלת האחורית השתמשה ב-IMAP כדי להתחבר לחשבונות דואר אלקטרוני שבשליטת האקרים, ניתחה אימיילים כדי לחלץ פקודות, ביצעה אותן ושלחה בחזרה אימיילים המכילים את התוצאות. צוות ניתוח האיומים של גוגל השבית את חשבונות הג'ימייל שבשליטת התוקפים, ושהתוכנה הזדונית השתמשה בהם כמעין תקשורת.

[מודעה_2]
קישור למקור