Secondo The Hacker News , Google ha avvertito che diversi gruppi di hacker stanno condividendo pubblicamente exploit volti a sfruttare il servizio di calendario dell'azienda per memorizzare infrastrutture di comando e controllo (C2).
Lo strumento, chiamato Google Calendar RAT (GCR), utilizza le funzionalità di gestione degli eventi dell'applicazione per inviare comandi e controllarla tramite un account Gmail. Il programma è stato pubblicato per la prima volta su GitHub nel giugno 2023.
Il ricercatore di sicurezza MrSaighnal ha affermato che il codice crea un canale segreto sfruttando le descrizioni degli eventi nell'app Calendario di Google. Nel suo ottavo rapporto sulle minacce, Google ha dichiarato di non aver osservato l'utilizzo pratico dello strumento, ma ha notato che la sua unità di intelligence sulle minacce Mandiant ha rilevato diverse minacce che hanno condiviso exploit proof-of-concept (PoC) su forum clandestini.
Google Calendar potrebbe essere sfruttato dagli hacker come centro di comando e controllo.
Google afferma che GCR viene eseguito su una macchina compromessa, scansionando periodicamente i descrittori degli eventi alla ricerca di nuovi comandi, eseguendoli sul dispositivo di destinazione e aggiornando i descrittori con un comando. Il fatto che questo strumento operi su infrastrutture legittime rende molto difficile rilevare attività sospette.
Questo caso mette ancora una volta in luce il preoccupante problema delle minacce che sfruttano i servizi cloud per infiltrarsi e nascondersi nei dispositivi delle vittime. In precedenza, un gruppo di hacker presumibilmente legato al governo iraniano aveva utilizzato documenti contenenti macro per aprire una backdoor su computer Windows e, contemporaneamente, inviare comandi di controllo tramite e-mail.
Google ha dichiarato che la backdoor utilizzava il protocollo IMAP per connettersi agli account di webmail controllati dagli hacker, analizzando le email per estrarre comandi, eseguendoli e inviando email di risposta contenenti i risultati. Il team di analisi delle minacce di Google ha disabilitato gli account Gmail controllati dagli aggressori che il malware utilizzava come canale di trasmissione.
Link alla fonte
![[Foto] Tran Cam Tu, membro del Comitato permanente del Comitato centrale del Partito, al lavoro con il Comitato centrale di ispezione.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/28/1779969579668_ndo_br_bnd-2495-jpg.webp)
Commento (0)