Google 캘린더 앱, 해커에 의해 악용될 수 있어

해커 뉴스(The Hacker News) 에 따르면 구글은 여러 위협 행위자들이 자사 캘린더 서비스를 악용하여 명령 및 제어(C2) 인프라를 구축하려는 목적으로 개발된 익스플로잇을 공개적으로 공유하고 있다고 경고했습니다.

구글 캘린더 RAT(GCR)라고 불리는 이 도구는 캘린더의 이벤트 기능을 이용하여 Gmail 계정을 통해 명령을 내리고 캘린더를 제어합니다. 이 프로그램은 2023년 6월 GitHub에 처음 공개되었습니다.

보안 연구원인 MrSaighnal은 해당 코드가 구글 캘린더 앱의 이벤트 설명을 악용하여 비밀 채널을 생성한다고 밝혔습니다. 구글은 여덟 번째 위협 보고서에서 해당 도구가 실제로 사용되는 사례는 발견하지 못했지만, 자사의 위협 인텔리전스 부서인 Mandiant가 지하 포럼에서 개념 증명(PoC) 익스플로잇을 공유하는 여러 위협을 탐지했다고 언급했습니다.

구글에 따르면 GCR은 해킹된 시스템에서 실행되며, 주기적으로 이벤트 디스크립터를 스캔하여 새로운 명령어를 찾고, 대상 기기에서 해당 명령어를 실행한 후 디스크립터를 명령어로 업데이트합니다. 이 도구가 합법적인 인프라에서 작동한다는 사실 때문에 의심스러운 활동을 탐지하기가 매우 어렵습니다.

이번 사례는 클라우드 서비스를 악용하여 피해자의 기기에 침투하고 숨어드는 위협의 심각한 문제를 다시 한번 부각시킵니다. 앞서 이란 정부 와 연계된 것으로 추정되는 해킹 그룹은 매크로 코드가 포함된 문서를 이용해 윈도우 컴퓨터에 백도어를 심고, 동시에 이메일을 통해 제어 명령을 전송한 바 있습니다.

구글은 해당 백도어가 IMAP을 이용해 해커가 관리하는 웹메일 계정에 접속한 후, 이메일을 분석하여 명령어를 추출하고 실행한 다음 결과를 담은 이메일을 다시 전송한다고 밝혔습니다. 구글의 위협 분석팀은 악성코드가 침투 경로로 사용한 공격자들의 Gmail 계정을 비활성화했습니다.