Apl Kalendar Google Boleh Dieksploitasi oleh Penggodam

Menurut The Hacker News , Google telah memberi amaran bahawa pelbagai pelaku ancaman berkongsi eksploitasi awam yang memanfaatkan perkhidmatan kalendarnya untuk menjadi tuan rumah kepada infrastruktur arahan dan kawalan (C2).

Alat yang dipanggil Google Calendar RAT (GCR), menggunakan ciri acara apl untuk mengeluarkan arahan dan kawalan menggunakan akaun Gmail. Program ini pertama kali diterbitkan ke GitHub pada Jun 2023.

Penyelidik keselamatan MrSaighnal berkata kod itu mencipta saluran rahsia dengan mengeksploitasi penerangan acara dalam apl kalendar Google. Dalam Laporan Ancaman kelapannya, Google berkata ia tidak memerhatikan alat itu digunakan di alam liar, tetapi menyatakan bahawa unit perisikan ancaman Mandiantnya telah melihat beberapa ancaman yang telah berkongsi eksploitasi bukti konsep (PoC) di forum bawah tanah.

Google mengatakan GCR berjalan pada mesin yang terjejas, mengimbas perihalan acara secara berkala untuk mendapatkan arahan baharu, melaksanakannya pada peranti sasaran dan mengemas kini perihalan dengan arahan itu. Hakikat bahawa alat itu beroperasi pada infrastruktur yang sah menjadikannya sukar untuk mengesan aktiviti yang mencurigakan.

Kes ini sekali lagi menunjukkan penggunaan perkhidmatan awan yang membimbangkan oleh pelaku ancaman untuk menyusup dan menyembunyikan diri mereka pada peranti mangsa. Sebelum ini, sekumpulan penggodam yang dipercayai mempunyai kaitan dengan kerajaan Iran menggunakan dokumen yang mengandungi makro untuk membuka pintu belakang pada komputer Windows dan mengeluarkan arahan melalui e-mel.

Google berkata pintu belakang menggunakan IMAP untuk menyambung ke akaun mel web yang dikawal oleh penggodam, menghuraikan e-mel untuk arahan, melaksanakannya dan menghantar semula e-mel yang mengandungi hasilnya. Pasukan analisis ancaman Google telah melumpuhkan akaun Gmail yang dikawal oleh penyerang yang digunakan oleh perisian hasad sebagai saluran.