ตามรายงานของ The Hacker News บริษัท Google ได้ออกมาเตือนว่าผู้ไม่หวังดีหลายรายกำลังแชร์ช่องโหว่สาธารณะที่ใช้บริการปฏิทินเพื่อโฮสต์โครงสร้างพื้นฐานการสั่งการและควบคุม (C2)
เครื่องมือนี้มีชื่อว่า Google Calendar RAT (GCR) ใช้ฟีเจอร์กิจกรรมของแอปเพื่อออกคำสั่งและควบคุมโดยใช้บัญชี Gmail โปรแกรมนี้เผยแพร่ครั้งแรกบน GitHub ในเดือนมิถุนายน 2023
นายไซห์นัล นักวิจัยด้านความปลอดภัยกล่าวว่าโค้ดดังกล่าวสร้างช่องทางลับโดยการใช้ประโยชน์จากคำอธิบายเหตุการณ์ในแอปปฏิทินของ Google ในรายงานภัยคุกคามฉบับที่ 8 กูเกิลระบุว่าไม่ได้สังเกตเห็นการใช้งานเครื่องมือนี้จริง แต่ระบุว่าหน่วยข่าวกรองภัยคุกคามของแมนเดียนท์ได้พบเห็นภัยคุกคามหลายรายการที่แชร์ช่องโหว่แบบพิสูจน์แนวคิด (PoC) บนฟอรัมใต้ดิน
Google Calendar อาจถูกใช้ประโยชน์เป็นศูนย์ควบคุมและสั่งการสำหรับแฮกเกอร์
Google ระบุว่า GCR ทำงานบนเครื่องที่ถูกบุกรุก โดยจะสแกนคำอธิบายเหตุการณ์เป็นระยะเพื่อหาคำสั่งใหม่ ดำเนินการคำสั่งเหล่านั้นบนอุปกรณ์เป้าหมาย และอัปเดตคำอธิบายด้วยคำสั่งนั้น ความจริงที่ว่าเครื่องมือนี้ทำงานบนโครงสร้างพื้นฐานที่ถูกต้องตามกฎหมาย ทำให้การตรวจจับกิจกรรมที่น่าสงสัยทำได้ยาก
กรณีนี้แสดงให้เห็นอีกครั้งถึงการใช้บริการคลาวด์ที่น่ากังวลโดยผู้คุกคามเพื่อแทรกซึมและซ่อนตัวอยู่ในอุปกรณ์ของเหยื่อ ก่อนหน้านี้ กลุ่มแฮกเกอร์ที่เชื่อว่ามีความเชื่อมโยงกับ รัฐบาล อิหร่านได้ใช้เอกสารที่มีแมโครเพื่อเปิดช่องโหว่ในคอมพิวเตอร์ Windows และออกคำสั่งผ่านอีเมล
Google ระบุว่าแบ็กดอร์ใช้ IMAP เพื่อเชื่อมต่อกับบัญชีเว็บเมลที่แฮกเกอร์ควบคุม แยกวิเคราะห์อีเมลเพื่อหาคำสั่ง ดำเนินการตามคำสั่ง และส่งอีเมลที่มีผลลัพธ์กลับมา ทีมวิเคราะห์ภัยคุกคามของ Google ได้ปิดการใช้งานบัญชี Gmail ที่แฮกเกอร์ควบคุม ซึ่งมัลแวร์ใช้เป็นช่องทางในการเข้าถึง
ลิงค์ที่มา
การแสดงความคิดเห็น (0)