Aplikacja Kalendarza Google może być wykorzystywana przez hakerów

Według serwisu The Hacker News firma Google ostrzega, że ​​wielu cyberprzestępców udostępnia publicznie luki w zabezpieczeniach, które wykorzystują usługę kalendarza firmy do hostowania infrastruktury poleceń i kontroli (C2).

Narzędzie o nazwie Google Calendar RAT (GCR) wykorzystuje funkcję zdarzeń aplikacji do wydawania poleceń i sterowania za pomocą konta Gmail. Program został po raz pierwszy opublikowany w serwisie GitHub w czerwcu 2023 roku.

Badacz ds. bezpieczeństwa, MrSaighnal, powiedział, że kod tworzy tajny kanał, wykorzystując opisy wydarzeń w aplikacji kalendarza Google. W swoim ósmym Raporcie o Zagrożeniach Google poinformowało, że nie zaobserwowało używania tego narzędzia w praktyce, ale zauważyło, że jego jednostka wywiadowcza Mandiant wykryła kilka zagrożeń, które udostępniały exploity typu proof-of-concept (PoC) na podziemnych forach.

Google twierdzi, że GCR działa na zainfekowanej maszynie, okresowo skanując opis zdarzenia w poszukiwaniu nowych poleceń, wykonując je na urządzeniu docelowym i aktualizując opis poleceniem. Fakt, że narzędzie działa w oparciu o legalną infrastrukturę, utrudnia wykrywanie podejrzanych działań.

Ta sprawa po raz kolejny pokazuje niepokojące wykorzystanie usług chmurowych przez cyberprzestępców do infiltracji i ukrywania się na urządzeniach ofiar. Wcześniej grupa hakerów, o których uważa się, że są powiązani z irańskim rządem, wykorzystywała dokumenty zawierające makra do otwierania tylnych drzwi na komputerach z systemem Windows i wydawania poleceń za pośrednictwem poczty elektronicznej.

Google poinformowało, że backdoor wykorzystuje protokół IMAP do łączenia się z kontem poczty internetowej kontrolowanym przez hakera, analizuje wiadomości e-mail pod kątem poleceń, wykonuje je i odsyła e-maile zawierające wyniki. Zespół Google ds. analizy zagrożeń wyłączył kontrolowane przez atakującego konta Gmail, które złośliwe oprogramowanie wykorzystywało jako kanał komunikacyjny.