Hackerek kihasználhatják a Google Naptár alkalmazást

A The Hacker News szerint a Google figyelmeztetett, hogy több fenyegető szereplő is nyilvános biztonsági rést oszt meg, amelyek a Google naptárszolgáltatását használják ki parancsnoki és irányító (C2) infrastruktúra üzemeltetésére.

A Google Calendar RAT (GCR) nevű eszköz az alkalmazás eseményfunkcióját használja parancsok és vezérlés kiadására egy Gmail-fiók használatával. A programot először 2023 júniusában tették közzé a GitHubon.

Mr. Saighnal biztonsági kutató szerint a kód egy titkos csatornát hoz létre a Google naptáralkalmazásában található eseményleírások kihasználásával. Nyolcadik fenyegetésjelentésében a Google azt írta, hogy nem figyelte meg az eszköz használatát a gyakorlatban, de megjegyezte, hogy a Mandiant fenyegetésfelderítő egysége számos olyan fenyegetést észlelt, amelyek koncepcióbizonyító (PoC) biztonsági rést osztottak meg földalatti fórumokon.

A Google szerint a GCR egy feltört gépen fut, rendszeresen átvizsgálja az esemény leírását új parancsok után kutatva, végrehajtja azokat a céleszközön, és frissíti a leírást a paranccsal. Az a tény, hogy az eszköz legitim infrastruktúrán működik, megnehezíti a gyanús tevékenységek észlelését.

Ez az eset ismét rávilágít arra, hogy a fenyegetések szereplői milyen aggasztó módon használják a felhőszolgáltatásokat az áldozatok eszközeire való beszivárgásra és elrejtőzésre. Korábban egy hackerekből álló csoport, akikről feltételezik, hogy az iráni kormányhoz köthetőek, makrókat tartalmazó dokumentumokat használt fel arra, hogy hátsó ajtót nyissanak meg Windows számítógépeken, és parancsokat adjanak ki e-mailben.

A Google szerint a hátsó ajtó IMAP-on keresztül csatlakozik a hacker által ellenőrzött webmail-fiókhoz, elemzi az e-maileket parancsok után kutatva, végrehajtja azokat, és visszaküldi az eredményeket tartalmazó e-maileket. A Google fenyegetéselemző csapata letiltotta a támadó által ellenőrzött Gmail-fiókokat, amelyeket a rosszindulatú program csatornaként használt.