وفقًا لموقع The Hacker News ، حذرت شركة Google من أن العديد من الجهات الفاعلة في مجال التهديد تشارك استغلالات عامة تستغل خدمة التقويم الخاصة بها لاستضافة البنية الأساسية للقيادة والتحكم (C2).

تستخدم الأداة، المسماة Google Calendar RAT (GCR)، ميزة أحداث التطبيق للتحكم والإصدار الأوامر باستخدام حساب Gmail. تم نشر هذا البرنامج لأول مرة على GitHub في يونيو 2023.

وقال الباحث الأمني ​​MrSaighnal إن الكود ينشئ قناة سرية من خلال استغلال أوصاف الأحداث في تطبيق تقويم Google. وفي تقريرها الثامن عن التهديدات، قالت شركة جوجل إنها لم تلاحظ استخدام الأداة في البرية، لكنها أشارت إلى أن وحدة استخبارات التهديدات Mandiant التابعة لها اكتشفت العديد من التهديدات التي شاركت في إثبات العمل (PoC) على المنتديات السرية.

وتقول شركة Google إن GCR يعمل على جهاز مخترق، ويفحص وصف الحدث بشكل دوري بحثًا عن أوامر جديدة، وينفذها على الجهاز المستهدف، ثم يقوم بتحديث الوصف بالأمر. إن حقيقة أن هذه الأداة تعمل على البنية التحتية المشروعة تجعل من الصعب للغاية اكتشاف أي نشاط مشبوه.

وتوضح هذه الحالة مرة أخرى الاستخدام المقلق للخدمات السحابية من قبل الجهات الفاعلة في مجال التهديد للتسلل وإخفاء أنفسهم على أجهزة الضحايا. في السابق، استخدمت مجموعة من القراصنة الذين يُعتقد أنهم مرتبطون بالحكومة الإيرانية وثائق تحتوي على تعليمات برمجية ماكرو لفتح باب خلفي على أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز وإصدار أوامر التحكم عبر البريد الإلكتروني.

وقالت جوجل إن الباب الخلفي يستخدم بروتوكول IMAP للاتصال بحساب بريد إلكتروني على الويب يتحكم فيه أحد المتسللين، ويقوم بتحليل رسائل البريد الإلكتروني بحثًا عن أوامر، وتنفيذها، ثم إرسال رسائل بريد إلكتروني تحتوي على النتائج. قام فريق تحليل التهديدات في جوجل بتعطيل حسابات Gmail التي يتحكم بها المهاجمون والتي يستخدمها البرنامج الضار كوسائل لنقل البرامج الضارة.