Siber güvenlik araştırmacıları, saldırganlar ve tehlikeye atılmış sistemler arasında gizli iletişim kanalları oluşturmak için meşru Google Takvim API’lerini kullanan gelişmiş yeni komut ve kontrol çerçevesi belirlediler.
Eylül 2025’te keşfedilen MeetC2 çerçevesi, tehdit aktörlerinin geleneksel güvenlik kontrollerini atlamak ve algılama mekanizmalarından kaçmak için güvenilir bulut hizmetlerini kötüye kullandıkları düşmanca taktiklerde ilgili bir evrimi temsil ediyor.
Çerçeve, Google’ın yaygın olarak güvenilir alan adları, özellikle “OAuth2.googleapis.com” ve “www.googleapis.com” aracılığıyla rutin iş iletişimi olarak kötü niyetli trafiği maskelendirerek çalışır.
Bu yaklaşım, kötü niyetli faaliyetlerin normal organizasyonel trafiğe sorunsuz bir şekilde karışmasını sağlar ve bu da algılamayı güvenlik ekipleri için önemli ölçüde daha zorlaştırır.
MacOS ve Linux sistemleri arasındaki platformlar arası uyumluluk, çeşitli kurumsal ortamlar üzerindeki potansiyel etkisini daha da artırır.
Deriv Tech araştırmacıları, çerçevenin tasarımının modern güvenlik mimarileri ve bulut hizmeti istismar teknikleri hakkında sofistike bir anlayış gösterdiğini belirtti.
Konsept kanıtı uygulaması, rakiplerin meşru SaaS platformlarını kötü niyetli amaçlar için nasıl kullanabileceğini ve büyük bulut sağlayıcılarındaki doğal güven kuruluşlarından yararlanabileceğini vurgulamaktadır.
Saldırı metodolojisi, tehlikeye atılan temsilcilerin belirli Google Takvim API uç noktalarına her 30 saniyede bir GET talepleri gönderdiği oylama tabanlı bir iletişim sisteminin etrafına odaklanmaktadır.
Operatörlerin komutlar vermeleri gerektiğinde, özet alanında “Kimseden Toplantı: [COMMAND]”.
.webp)
Mağdur ajanı, düzenli yoklama döngüleri sırasında bu komut olaylarını tanımlar, komutları çıkarır, bunları yerel olarak yürütür ve aynı takvim olayını içine gömülü yürütme sonuçlarıyla günceller [OUTPUT] [/OUTPUT] Açıklama alanındaki parametreler.
Teknik Uygulama ve Kaçınma Mekanizmaları
MeetC2 çerçevesinin teknik mimarisi, Google hizmetlerinin yaygın ve güvenilir doğasından yararlanan sofistike kaçış yeteneklerini ortaya koyuyor.
Kimlik doğrulama işlemi, saldırganların meşru Google bulut konsolu projeleri ve takvim erişim izinleri ile hizmet hesapları oluşturmasını gerektiren standart OAUTH2 akışlarını kullanır.
Bu yaklaşım, tüm iletişimin şüpheli ağ trafiği yerine yetkili API etkileşimleri olarak görünmesini sağlar.
Uygulama, tamamen Google’ın mevcut takvim API altyapısı aracılığıyla faaliyet gösteren asgari altyapı gerektirir.
Operatörler, paylaşılan takvimlerde “etkinliklerde değişiklik yap” izinleri ile yapılandırılan hizmet hesapları aracılığıyla kimlik doğrulaması yapar.
Yoklama mekanizması 30 saniyelik bir aralık kullanır, operasyonel duyarlılık ve hız sınırlama veya şüpheli etkinlik uyarılarını tetikleyebilecek aşırı API taleplerinden kaçınan bir denge sağlar.
Kod yürütme, takvim olay özetlerinden komut çıkarma yoluyla gerçekleşir ve sonuçlar aynı etkinliğin açıklama alanına geri yüklenir.
Bu çift yönlü iletişim modeli, meşru takvim senkronizasyon faaliyetlerinin görünümünü korurken eksiksiz bir komut ve kontrol kanalı oluşturur.
Çerçeve, aynı anda birden fazla uzlaşmacı sistemde “exec @host: command” veya yayın komutları gibi ana bilgisayara özgü sözdizimi kullanarak hedeflenen komut yürütmeyi destekler.
MeetC2’nin kalıcılığı ve gizli özellikleri, çerçeve, kuruluşların iş operasyonları için açıkça beyaz liste verdiği şüpheli ağ modelleri ve kaldırma hizmetleri üretmediğinden, özellikle kurumsal güvenlik ekipleri için bunu yapmaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.