Google es advertencia de múltiples actores de amenazas que comparten un exploit de prueba de concepto (PoC) público que aprovecha su servicio Calendario para alojar la infraestructura de comando y control (C2).
La herramienta, llamada RAT del Calendario de Google (GCR), emplea Google Calendar Events para C2 usando una cuenta de Gmail. Fue publicado por primera vez a GitHub en junio de 2023.
“El script crea un ‘canal encubierto’ explotando las descripciones de eventos en Google Calendar”, según su desarrollador e investigador, que utiliza el alias en línea MrSaighnal. “El objetivo se conectará directamente con Google”.
El gigante tecnológico, en su octavo informe Horizontes de Amenazasdijo que no ha observado el uso de la herramienta en la naturaleza, pero señaló que su unidad de inteligencia de amenazas Mandiant ha observado compartir el PoC en foros clandestinos.
“GCR, que se ejecuta en una máquina comprometida, sondea periódicamente la descripción del evento del Calendario en busca de nuevos comandos, ejecuta esos comandos en el dispositivo de destino y luego actualiza la descripción del evento con la salida del comando”, dijo Google.
El hecho de que la herramienta opere exclusivamente en infraestructura legítima dificulta que los defensores detecten actividades sospechosas, añadió.
El desarrollo destaca el continuo interés de los actores de amenazas en abusar de los servicios en la nube para mezclarse con los entornos de las víctimas y pasar desapercibidos.
Esto incluye a un actor de estado-nación iraní que fue descubierto empleando documentos macro para comprometer a los usuarios con una pequeña puerta trasera .NET con nombre en código BAANAMAIL para Windows que usa correo electrónico para C2.
“La puerta trasera utiliza IMAP para conectarse a una cuenta de correo web controlada por un atacante, donde analiza los correos electrónicos en busca de comandos, los ejecuta y envía un correo electrónico que contiene los resultados”, dijo Google.
El Grupo de Análisis de Amenazas de Google dijo que desde entonces deshabilitó las cuentas de Gmail controladas por el atacante que fueron utilizadas por el malware como conducto.