По данным The Hacker News , компания Google предупредила, что многочисленные злоумышленники делятся публичными эксплойтами, которые используют ее службу календаря для размещения инфраструктуры управления и контроля (C2).

Инструмент под названием Google Calendar RAT (GCR) использует функцию событий приложения для управления и контроля с помощью учетной записи Gmail. Эта программа была впервые опубликована на GitHub в июне 2023 года.

Исследователь по вопросам безопасности MrSaighnal заявил, что код создает скрытый канал, используя описания событий в приложении «Календарь» Google. В своем восьмом отчете об угрозах Google заявила, что не наблюдала реального использования инструмента, но отметила, что ее подразделение по анализу угроз Mandiant обнаружило несколько угроз, которые поделились доказательством работы (PoC) на подпольных форумах.

По данным Google, GCR работает на взломанном компьютере, периодически сканируя описание событий на наличие новых команд, выполняя их на целевом устройстве и обновляя описание с помощью команды. Тот факт, что этот инструмент работает на легитимной инфраструктуре, затрудняет обнаружение подозрительной активности.

Этот случай в очередной раз демонстрирует тревожное использование облачных сервисов злоумышленниками для проникновения и сокрытия своего присутствия на устройствах жертв. Ранее группа хакеров, предположительно связанная с иранским правительством, использовала документы, содержащие макрокод, для открытия бэкдора на компьютерах Windows и отправки управляющих команд по электронной почте.

По данным Google, бэкдор использует протокол IMAP для подключения к контролируемой хакером учетной записи веб-почты, анализирует электронные письма на предмет команд, выполняет их и отправляет обратно электронные письма с результатами. Группа анализа угроз Google отключила контролируемые злоумышленниками учетные записи Gmail, которые использовались в качестве каналов распространения вредоносного ПО.