Google avertizează că mai multe persoane rău intenționate folosesc o exploatare de tip proof-of-concept (PoC) care utilizează serviciul Calendar ca și gazdă pentru infrastructura de comandă și control (C2).

Instrumentul, numit Google Calendar RAT (GCR), folosește Google Calendar Events pentru a rula C2 pe baza unui cont Gmail.

„Scriptul creează un „Covert Channel” prin exploatarea descrierilor evenimentelor din Google Calendar”, declară dezvoltatorul și cercetătorul său, care poartă numele de alias online MrSaighnal. Ținta se va conecta astfel direct la Google”, scrie TechRadar.

GCR, care rulează pe un dispozitiv compromis, verifică periodic descrierea evenimentului din Calendar pentru comenzi noi, execută acele comenzi pe dispozitivul țintă și apoi actualizează descrierea evenimentului cu command output”, a spus Google.

Faptul că instrumentul funcționează exclusiv pe infrastructură legitimă face dificil pentru apărători să detecteze activitățile suspecte, a adăugat acesta.

Google a menționat, în raportul Threat Horizons, că nu a observat utilizarea acestei unelte în mediul real, dar a notat că unitatea sa de informații privind amenințările, Mandiant, a detectat mai mulți actori periculoși care distribuie Conceptul Demonstrativ al Funcționalității (PoC) pe forumurile underground.

Uneltele Covert C2 și atacurile folosind servicii cloud reprezintă o preocupare continuă pentru hackeri, deoarece acestea le permit să se ascundă în mediile victimelor și să evite detecția.

Un exemplu notabil este folosirea unui backdoor mic numit BANANAMAIL pentru Windows, care folosește e-mailul pentru comandă și control (C2). Grupul de Analiză a Amenințărilor Google a dezactivat conturile Gmail controlate de atacatori care au fost utilizate pentru răspândirea de malware.

„Google Calendar se conectează la o varietate de aplicații terțe, făcând această amenințare mult mai intruzivă. Targetarea platformelor Google poate avea implicații multiple, deoarece atât de multe alte servicii se bazează pe aplicațiile lor și interacționează cu acestea, astfel încât o vulnerabilitate va fi simțită mult mai larg”, consideră Jake Moore, Global Cyber Security Advisor al ESET

Această exploatare poate evidenția atenția continuă a hackerilor asupra exploatării serviciilor cloud ca mijloc de integrare în mediile țintă și de a evita detecția.

Din fericire, Google a dezactivat funcția, dar este un bună atenționare pentru a trece pe listă ce servicii sunt conectate și pentru o verificare suplimentară pentru a permite conectarea aplicațiilor și a login-urilor numai cu servicii de încredere și care sunt actualizate la ultimele versiuni.”

---