Хакери можуть використовувати зловмисний додаток Google Календар

Згідно з The Hacker News , Google попередив, що численні зловмисники поширюють публічні експлойти, які використовують його службу календаря для розміщення інфраструктури командування та управління (C2).

Інструмент під назвою Google Calendar RAT (GCR) використовує функцію подій програми для видачі команд та керування за допомогою облікового запису Gmail. Програма вперше була опублікована на GitHub у червні 2023 року.

Дослідник безпеки пан Сайгнал заявив, що код створює прихований канал, використовуючи описи подій у додатку календаря Google. У своєму восьмому звіті про загрози Google заявила, що не спостерігала практичного використання цього інструменту, але зазначила, що її підрозділ розвідки загроз Mandiant виявив кілька загроз, які поділилися експлойтами, що підтверджують концепцію (PoC), на підпільних форумах.

Google стверджує, що GCR працює на скомпрометованій машині, періодично скануючи опис події на наявність нових команд, виконуючи їх на цільовому пристрої та оновлюючи опис відповідною командою. Той факт, що інструмент працює на легітимній інфраструктурі, ускладнює виявлення підозрілої активності.

Цей випадок вкотре демонструє тривожне зловживання хмарними сервісами з боку зловмисників для проникнення та приховування на пристроях жертв. Раніше група хакерів, яких вважають пов'язаними з урядом Ірану, використовувала документи, що містили макроси, щоб відкрити бекдор на комп'ютерах Windows та видавати керуючі команди електронною поштою.

Google заявила, що бекдор використовує IMAP для підключення до контрольованого хакером облікового запису веб-пошти, аналізує електронні листи на наявність команд, виконує їх та надсилає назад електронні листи з результатами. Команда аналізу загроз Google вимкнула контрольовані зловмисниками облікові записи Gmail, які шкідливе програмне забезпечення використовувало як канал зв'язку.