Хакери можуть зламати додаток Google Календар

Згідно з The Hacker News , Google попередив, що численні зловмисники поширюють публічні експлойти, які використовують його службу календаря для розміщення інфраструктури командування та управління (C2).

Інструмент під назвою Google Calendar RAT (GCR) використовує функцію подій програми для видачі команд та керування за допомогою облікового запису Gmail. Програма вперше була опублікована на GitHub у червні 2023 року.

Дослідник безпеки пан Сайгнал заявив, що код створює прихований канал, використовуючи описи подій у додатку календаря Google. У своєму восьмому звіті про загрози Google заявила, що не спостерігала практичного використання цього інструменту, але зазначила, що її підрозділ розвідки загроз Mandiant виявив кілька загроз, які поширювали експлойти для підтвердження концепції (PoC) на підпільних форумах.

Google стверджує, що GCR працює на скомпрометованій машині, періодично скануючи опис події на наявність нових команд, виконуючи їх на цільовому пристрої та оновлюючи опис відповідною командою. Той факт, що інструмент працює на легітимній інфраструктурі, ускладнює виявлення підозрілої активності.

Цей випадок вкотре демонструє тривожне використання хмарних сервісів зловмисниками для проникнення та приховування себе на пристроях жертв. Раніше група хакерів, яких вважають пов'язаними з урядом Ірану, використовувала документи, що містили макроси, щоб відкрити бекдор на комп'ютерах Windows та видавати команди електронною поштою.

Google заявила, що бекдор використовує IMAP для підключення до облікового запису веб-пошти, контрольованого хакером, аналізує електронні листи на наявність команд, виконує їх та надсилає назад листи з результатами. Команда аналізу загроз Google вимкнула облікові записи Gmail, контрольовані зловмисником, які шкідливе програмне забезпечення використовувало як канал зв'язку.