谷歌警告黑客如何滥用日历服务作为秘密 C2 通道

报告2023 年 11 月 6 日编辑部网络攻击/在线安全

谷歌 警告 来自多个威胁参与者共享公共概念验证 (PoC) 漏洞，利用其日历服务来托管命令和控制 (C2) 基础设施。

该工具称为 Google 日历 RAT (GCR)，使用 Gmail 帐户将 Google 日历事件用于 C2。 他是 首次发表 2023 年 6 月访问 GitHub。

“该脚本通过利用 Google 日历中的事件描述创建了一个‘秘密通道’，”使用在线笔名 MrSaighnal 的开发者和研究人员表示。 “目标将直接连接到谷歌。”

科技巨头在 第八次威胁展望报告该公司表示，尚未观察到该工具在现实生活中的使用情况，但指出其 Mandiant 威胁情报部门观察到了地下论坛中的概念验证 (PoC) 分享。

谷歌表示：“GCR 在受感染的设备上运行，定期轮询日历事件描述以查找新命令，在目标设备上执行这些命令，然后使用命令输出更新事件描述。”

她补充说，该工具仅在合法基础设施上运行，这使得防御者很难检测到可疑活动。

这一发展凸显了行为者对滥用云服务以融入受害者环境并在雷达下飞行的持续兴趣。

其中包括一名伊朗民族国家行为者，据观察，他使用大型文档通过一个代号为 BANANAMAIL for Windows 的小型 .NET 后门（使用 C2 电子邮件）来危害用户。

谷歌表示：“后门使用 IMAP 协议连接到攻击者控制的网络邮件帐户，解析电子邮件中的命令，执行命令，然后发送包含结果的电子邮件。”

谷歌的威胁分析小组表示，它已经禁用了攻击者控制的 Gmail 帐户，该恶意软件将这些帐户用作渠道。