Хакери можуть зловмисниками зловмисників використовувати додаток Календар Google.

Згідно з The Hacker News , Google попередив, що численні зловмисники публічно поширюють експлойти, спрямовані на використання календарного сервісу компанії для зберігання інфраструктури командування та управління (C2).

Інструмент під назвою Google Calendar RAT (GCR) використовує функції подій програми для видачі команд та керування нею через обліковий запис Gmail. Програма вперше була опублікована на GitHub у червні 2023 року.

Дослідник безпеки пан Сайгнал заявив, що код створює секретний канал, використовуючи описи подій у додатку календаря Google. У своєму восьмому звіті про загрози Google заявила, що не спостерігала використання цього інструменту на практиці, але зазначила, що її підрозділ розвідки загроз Mandiant виявив кілька загроз, які поширювали експлойти, що підтверджують концепцію (PoC), на підпільних форумах.

Google стверджує, що GCR працює на скомпрометованій машині, періодично скануючи дескриптори подій на наявність нових команд, виконуючи їх на цільовому пристрої та оновлюючи дескриптори за допомогою команди. Той факт, що цей інструмент працює на легітимній інфраструктурі, дуже ускладнює виявлення підозрілої активності.

Цей випадок ще раз підкреслює тривожну проблему загроз, що зловживають хмарними сервісами для проникнення та приховування на пристроях жертв. Раніше хакерська група, нібито пов'язана з урядом Ірану, використовувала документи, що містили макрокод, для відкриття бекдору на комп'ютерах Windows, та одночасно надсилала керуючі команди електронною поштою.

Google заявила, що бекдор використовував IMAP для підключення до облікових записів веб-пошти, контрольованих хакерами, аналізуючи електронні листи для вилучення команд, виконуючи їх та надсилаючи назад електронні листи з результатами. Команда аналізу загроз Google вимкнула облікові записи Gmail, контрольовані зловмисниками, які шкідливе програмне забезпечення використовувало як канал зв'язку.