Aplikasi Google Kalender Bisa Dieksploitasi oleh Peretas

Menurut The Hacker News , Google telah memperingatkan bahwa banyak aktor ancaman berbagi eksploitasi publik yang memanfaatkan layanan kalendernya untuk menjadi tuan rumah infrastruktur perintah dan kontrol (C2).

Alat yang disebut Google Calendar RAT (GCR) ini menggunakan fitur acara aplikasi untuk mengeluarkan perintah dan kontrol menggunakan akun Gmail. Program ini pertama kali dipublikasikan di GitHub pada Juni 2023.

Peneliti keamanan MrSaighnal mengatakan kode tersebut menciptakan saluran rahasia dengan mengeksploitasi deskripsi acara di aplikasi kalender Google. Dalam Laporan Ancaman kedelapannya, Google menyatakan belum mengamati penggunaan alat tersebut secara luas, tetapi mencatat bahwa unit intelijen ancaman Mandiant telah menemukan beberapa ancaman yang membagikan eksploitasi bukti konsep (PoC) di forum-forum bawah tanah.

Google menyatakan bahwa GCR berjalan pada mesin yang telah disusupi, memindai deskripsi peristiwa secara berkala untuk mencari perintah baru, mengeksekusinya di perangkat target, dan memperbarui deskripsi dengan perintah tersebut. Karena alat ini beroperasi pada infrastruktur yang sah, aktivitas mencurigakan sulit dideteksi.

Kasus ini sekali lagi menunjukkan betapa mengkhawatirkannya penggunaan layanan cloud oleh aktor ancaman untuk menyusup dan menyembunyikan diri di perangkat korban. Sebelumnya, sekelompok peretas yang diyakini terkait dengan pemerintah Iran menggunakan dokumen berisi makro untuk membuka pintu belakang di komputer Windows dan mengirimkan perintah melalui email.

Google menyatakan bahwa pintu belakang tersebut menggunakan IMAP untuk terhubung ke akun webmail yang dikendalikan oleh peretas, mengurai email untuk perintah, mengeksekusinya, dan mengirimkan kembali email berisi hasilnya. Tim analisis ancaman Google telah menonaktifkan akun Gmail yang dikendalikan penyerang yang digunakan malware sebagai saluran.