ตามรายงานของ The Hacker News บริษัท Google ได้เตือนว่าผู้ก่อภัยคุกคามหลายรายกำลังแชร์ช่องโหว่สาธารณะที่ใช้บริการปฏิทินเพื่อโฮสต์โครงสร้างพื้นฐานคำสั่งและการควบคุม (C2)

เครื่องมือที่เรียกว่า Google Calendar RAT (GCR) จะใช้คุณลักษณะกิจกรรมของแอปเพื่อสั่งการและควบคุมโดยใช้บัญชี Gmail โปรแกรมนี้เผยแพร่ครั้งแรกบน GitHub ในเดือนมิถุนายน พ.ศ. 2566

นักวิจัยด้านความปลอดภัย MrSaighnal กล่าวว่าโค้ดดังกล่าวสร้างช่องทางที่ซ่อนเร้นโดยใช้ประโยชน์จากคำอธิบายเหตุการณ์ในแอปปฏิทินของ Google ในการรายงานภัยคุกคามครั้งที่ 8 Google กล่าวว่าไม่ได้สังเกตเห็นว่าเครื่องมือดังกล่าวถูกใช้งานจริง แต่สังเกตว่าหน่วยข่าวกรองภัยคุกคาม Mandiant ได้ตรวจพบภัยคุกคามหลายรายการที่ได้แบ่งปันหลักฐานการทำงาน (PoC) บนฟอรัมใต้ดิน

Google กล่าวว่า GCR ทำงานบนเครื่องที่ถูกบุกรุก โดยจะสแกนคำอธิบายเหตุการณ์เป็นระยะๆ เพื่อค้นหาคำสั่งใหม่ จากนั้นดำเนินการในอุปกรณ์เป้าหมาย และอัปเดตคำอธิบายด้วยคำสั่ง ความจริงที่ว่าเครื่องมือนี้ทำงานบนโครงสร้างพื้นฐานที่ถูกต้องทำให้ยากต่อการตรวจจับกิจกรรมที่น่าสงสัย

กรณีนี้แสดงให้เห็นอีกครั้งถึงการใช้บริการคลาวด์ที่น่ากังวลโดยผู้ก่อภัยคุกคามเพื่อแทรกซึมและซ่อนตัวในอุปกรณ์ของเหยื่อ ก่อนหน้านี้ กลุ่มแฮกเกอร์ที่เชื่อว่าเชื่อมโยงกับรัฐบาลอิหร่านได้ใช้เอกสารที่มีโค้ดมาโครเพื่อเปิดประตูหลังบนคอมพิวเตอร์ที่ใช้ Windows และออกคำสั่งควบคุมผ่านอีเมล

Google กล่าวว่าแบ็คดอร์ใช้ IMAP เพื่อเชื่อมต่อกับบัญชีเว็บเมลที่ควบคุมโดยแฮกเกอร์ แยกวิเคราะห์อีเมลเพื่อค้นหาคำสั่ง ดำเนินการตามคำสั่ง และส่งอีเมลที่มีผลลัพธ์กลับมา ทีมวิเคราะห์ภัยคุกคามของ Google ได้ปิดใช้งานบัญชี Gmail ที่ควบคุมโดยผู้โจมตี ซึ่งใช้เป็นช่องทางให้มัลแวร์เข้าถึง