Google, komuta ve kontrol (C2) altyapısını barındırmak için Takvim hizmetinden yararlanan herkese açık bir kavram kanıtını (PoC) istismar eden birden fazla tehdit aktörünün paylaşıldığı konusunda uyarıyor.
Araç adı verildi Google Takvim RAT (GCR), bir Gmail hesabı kullanarak C2 için Google Takvim Etkinliklerini kullanıyor. İlk olarak Haziran 2023’te GitHub’da yayınlandı.
MrSaighnal çevrimiçi takma adını kullanan geliştiricisi ve araştırmacısına göre, “Komut dosyası, Google Takvim’deki etkinlik açıklamalarından yararlanarak bir ‘Gizli Kanal’ yaratıyor.” “Hedef doğrudan Google’a bağlanacak.”
Teknoloji devi, sekizinci Threat Horizons raporunda, aracın vahşi ortamda kullanımını gözlemlemediğini ancak Mandiant tehdit istihbarat biriminin PoC’yi yeraltı forumlarında paylaştığını gözlemlediğini belirtti.
Google, “Güvenliği aşılmış bir makinede çalışan GCR, düzenli aralıklarla Takvim etkinlik açıklamasını yeni komutlar için yokluyor, bu komutları hedef cihazda yürütüyor ve ardından etkinlik açıklamasını komut çıktısıyla güncelliyor” dedi.
Aracın yalnızca meşru altyapı üzerinde çalışması gerçeğinin, savunucuların şüpheli etkinlikleri tespit etmesini zorlaştırdığı da eklendi.
Bu gelişme, tehdit aktörlerinin kurban ortamlarına uyum sağlamak ve gözden kaçmak için bulut hizmetlerini kötüye kullanmaya olan ilgisinin devam ettiğini vurguluyor.
Buna, C2 için e-posta kullanan Windows için BAANAMAIL kod adlı küçük bir .NET arka kapısıyla kullanıcıların güvenliğini tehlikeye atmak için makro bağlantılı belgeler kullandığı tespit edilen İranlı bir ulus devlet aktörü de dahildir.
Google, “Arka kapı, komutlar için e-postaları ayrıştırdığı, bunları yürüttüğü ve sonuçları içeren bir e-postayı geri gönderdiği, saldırgan tarafından kontrol edilen bir web posta hesabına bağlanmak için IMAP’i kullanıyor” dedi.
Google’ın Tehdit Analiz Grubu, o zamandan bu yana, kötü amaçlı yazılım tarafından kanal olarak kullanılan, saldırganların kontrol ettiği Gmail hesaplarının devre dışı bırakıldığını söyledi.