Google のカレンダー アプリがハッカーに悪用される可能性があります。

Hacker Newsによると、Google は、複数の脅威アクターがカレンダー サービスを利用してコマンド アンド コントロール (C2) インフラストラクチャをホストすることを目的としたエクスプロイトを公開していると警告しました。

GoogleカレンダーRAT（GCR）と呼ばれるこのツールは、アプリケーションのイベント機能を利用してコマンドを発行し、Gmailアカウント経由でアプリケーションを制御します。このプログラムは2023年6月にGitHubで初めて公開されました。

セキュリティ研究者のMrSaighnal氏によると、このコードはGoogleカレンダーアプリの予定説明を悪用して秘密のチャネルを作成するという。Googleは第8回脅威レポートで、このツールが実際に使用されているのを確認していないと述べているものの、同社の脅威インテリジェンス部門であるMandiantが、アンダーグラウンドフォーラムで概念実証（PoC）のエクスプロイトを共有している複数の脅威を検出したと述べている。

Googleによると、GCRは侵害されたマシン上で動作し、定期的にイベント記述子をスキャンして新しいコマンドを探し、標的のデバイス上で実行し、コマンドで記述子を更新する。このツールが正規のインフラストラクチャ上で動作するため、不審なアクティビティの検出は非常に困難である。

この事件は、クラウドサービスを悪用して被害者のデバイスに侵入し、潜伏するという脅威の深刻な問題を改めて浮き彫りにしました。以前、イラン政府と関係があるとされるハッキンググループが、マクロコードを含む文書を用いてWindowsコンピューターにバックドアを開き、同時に電子メールで制御コマンドを送信していました。

Googleによると、このバックドアはIMAPを使用してハッカーが管理するウェブメールアカウントに接続し、メールを分析してコマンドを抽出、実行し、その結果を記載したメールを送信していたという。Googleの脅威分析チームは、マルウェアが経路として利用していた攻撃者が管理するGmailアカウントを無効化した。