A Google Naptár alkalmazást hackerek kihasználhatják

A The Hacker News szerint a Google figyelmeztetett, hogy több fenyegető szereplő is nyilvános biztonsági rést oszt meg, amelyek a Google naptárszolgáltatását használják ki parancsnoki és irányító (C2) infrastruktúra üzemeltetésére.

A Google Calendar RAT (GCR) nevű eszköz az alkalmazás eseményfunkcióját használja parancsok és vezérlés kiadására egy Gmail-fiók használatával. A program először 2023 júniusában jelent meg a GitHubon.

Mr. Saighnal biztonsági kutató szerint a kód egy titkos csatornát hoz létre a Google naptáralkalmazásában található eseményleírások kihasználásával. Nyolcadik fenyegetésjelentésében a Google azt írta, hogy nem figyelte meg az eszköz gyakorlati használatát, de megjegyezte, hogy a Mandiant fenyegetésfelderítő egysége számos olyan fenyegetést észlelt, amelyek koncepcióbizonyító (PoC) biztonsági rést osztottak meg földalatti fórumokon.

A Google szerint a GCR egy feltört gépen fut, rendszeresen átvizsgálja az esemény leírását új parancsok után kutatva, végrehajtja azokat a céleszközön, és frissíti a leírást a paranccsal. Az a tény, hogy az eszköz legitim infrastruktúrán működik, megnehezíti a gyanús tevékenységek észlelését.

Ez az eset ismét rávilágít arra, hogy a fenyegetések szereplői aggasztó módon visszaélnek a felhőszolgáltatásokkal, hogy beszivárogjanak és elrejtőzzenek az áldozatok eszközein. Korábban egy hackerekből álló csoport, akikről feltételezik, hogy az iráni kormányhoz köthetőek, makrókat tartalmazó dokumentumokat használt fel arra, hogy hátsó ajtót nyissanak meg Windows számítógépeken, és e-mailben adjanak ki vezérlőparancsokat.

A Google szerint a hátsó ajtó IMAP-ot használ a hackerek által ellenőrzött webmail-fiókhoz való csatlakozáshoz, az e-mailekből parancsokat keres, végrehajtja azokat, és visszaküldi az eredményeket tartalmazó e-maileket. A Google fenyegetéselemző csapata letiltotta a támadók által ellenőrzött Gmail-fiókokat, amelyeket a rosszindulatú program csatornaként használt.