A Google Naptár alkalmazását hackerek kihasználhatják.

A The Hacker News szerint a Google figyelmeztetett, hogy több fenyegető szereplő is nyilvánosan megoszt olyan biztonsági réseken alapuló biztonsági rést, amelyek célja a vállalat naptárszolgáltatásának kihasználása a parancsnoki és irányítási (C2) infrastruktúra tárolására.

A Google Calendar RAT (GCR) nevű eszköz az alkalmazás eseményfunkcióit használja parancsok kiadására és egy Gmail-fiókon keresztüli vezérlésére. A program először 2023 júniusában jelent meg a GitHubon.

Mr. Saighnal biztonsági kutató szerint a kód egy titkos csatornát hoz létre a Google naptáralkalmazásában található eseményleírások kihasználásával. Nyolcadik fenyegetésjelentésében a Google azt írta, hogy nem figyelte meg az eszköz gyakorlati használatát, de megjegyezte, hogy a Mandiant fenyegetésfelderítő egysége számos olyan fenyegetést észlelt, amelyek koncepcióbizonyító (PoC) biztonsági rést osztottak meg földalatti fórumokon.

A Google szerint a GCR egy feltört gépen fut, rendszeresen beolvassa az eseményleírókat új parancsok után kutatva, végrehajtja azokat a céleszközön, és egy paranccsal frissíti a leírókat. Az a tény, hogy ez az eszköz legitim infrastruktúrán működik, nagyon megnehezíti a gyanús tevékenységek észlelését.

Ez az eset ismét rávilágít a felhőszolgáltatásokat kihasználó fenyegetések riasztó problémájára, amelyek beszivárognak és elrejtőznek az áldozatok eszközein. Korábban egy állítólag az iráni kormánnyal kapcsolatban álló hackercsoport makrókódot tartalmazó dokumentumokat használt fel egy hátsó ajtó megnyitásához Windows számítógépeken, és egyidejűleg vezérlőparancsokat adott ki e-mailben.

A Google kijelentette, hogy a hátsó ajtó IMAP-on keresztül csatlakozott a hackerek által ellenőrzött webmail-fiókokhoz, elemezte az e-maileket, kinyerte a parancsokat, végrehajtotta azokat, és e-mailben küldte vissza az eredményeket. A Google fenyegetéselemző csapata letiltotta a támadók által ellenőrzött Gmail-fiókokat, amelyeket a rosszindulatú program csatornaként használt.