Theo The Hacker News, Google đã cảnh báo nhiều tác nhân đe dọa đang chia sẻ cách khai thác công khai nhằm tận dụng dịch vụ lịch của hãng để lưu trữ cơ sở hạ tầng ra lệnh và kiểm soát (C2).
Công cụ có tên Google Calendar RAT (GCR), sử dụng tính năng sự kiện của ứng dụng để ra lệnh và kiểm soát bằng tài khoản Gmail. Chương trình này được xuất bản đầu tiên lên GitHub vào tháng 6.2023.
Nhà nghiên cứu bảo mật MrSaighnal cho biết đoạn mã tạo ra một kênh bí mật bằng cách khai thác các mô tả sự kiện trong ứng dụng lịch của Google. Trong Báo cáo về các mối đe dọa lần thứ tám, Google cho biết chưa quan sát thấy việc công cụ này được sử dụng trong thực tế, nhưng lưu ý đơn vị tình báo mối đe dọa Mandiant của hãng đã phát hiện một số mối đe dọa đã chia sẻ bằng chứng khai thác (PoC) trên các diễn đàn ngầm.
Google Calendar có thể bị lợi dụng làm trung tâm điều khiển và kiểm soát của hacker
Google nói GCR chạy trên một máy bị xâm nhập, định kỳ dò mô tả sự kiện để tìm các lệnh mới rồi thực thi chúng trên thiết bị mục tiêu và cập nhật mô tả bằng lệnh. Thực tế là công cụ này hoạt động trên cơ sở hạ tầng hợp pháp nên rất khó phát hiện hoạt động đáng ngờ.
Trường hợp này một lần nữa cho thấy sự đáng lo ngại khi tác nhân đe dọa lạm dụng các dịch vụ đám mây để thâm nhập và ẩn mình vào thiết bị của nạn nhân. Trước đó một nhóm hacker được cho là có liên kết đến chính phủ Iran đã dùng các tài liệu có các đoạn mã macro dùng mở một cửa hậu (backdoor) trên máy tính Windows, đồng thời ra lệnh điều khiển qua email.
Google cho biết backdoor sử dụng IMAP để kết nối với tài khoản webmail do hacker kiểm soát, nó phân tích email để lấy lệnh, thực thi chúng và gửi lại email chứa kết quả. Nhóm phân tích mối đe dọa của Google đã vô hiệu hóa các tài khoản Gmail do kẻ tấn công kiểm soát được phần mềm độc hại sử dụng làm đường dẫn.
