Google est avertissement de plusieurs acteurs malveillants partageant un exploit public de preuve de concept (PoC) qui exploite son service Calendar pour héberger une infrastructure de commande et de contrôle (C2).
L’outil, appelé Google Agenda RAT (GCR), utilise Google Calendar Events pour C2 en utilisant un compte Gmail. C’était première publication sur GitHub en juin 2023.
« Le script crée une ‘chaîne secrète’ en exploitant les descriptions d’événements dans Google Calendar », selon son développeur et chercheur, qui s’appelle MrSaighnal en ligne. « La cible se connectera directement à Google. »
Le géant de la technologie, dans son huitième rapport Threat Horizonsa déclaré qu’il n’avait pas observé l’utilisation de l’outil dans la nature, mais a noté que son unité de renseignement sur les menaces Mandiant avait observé le partage du PoC sur des forums clandestins.
« GCR, exécuté sur une machine compromise, interroge périodiquement la description de l’événement du calendrier à la recherche de nouvelles commandes, exécute ces commandes sur l’appareil cible, puis met à jour la description de l’événement avec le résultat de la commande », a déclaré Google.
Le fait que l’outil fonctionne exclusivement sur des infrastructures légitimes rend difficile pour les défenseurs de détecter les activités suspectes, ajoute-t-il.
Ce développement met en évidence l’intérêt constant des acteurs malveillants à abuser des services cloud pour se fondre dans les environnements des victimes et passer inaperçus.
Cela inclut un acteur étatique iranien qui a été repéré en train d’utiliser des documents macro pour compromettre les utilisateurs avec une petite porte dérobée .NET nommée BANANAMAIL pour Windows qui utilise le courrier électronique pour C2.
« La porte dérobée utilise IMAP pour se connecter à un compte de messagerie Web contrôlé par un attaquant, où elle analyse les commandes dans les e-mails, les exécute et renvoie un e-mail contenant les résultats », a déclaré Google.
Le groupe d’analyse des menaces de Google a déclaré avoir depuis désactivé les comptes Gmail contrôlés par les attaquants et utilisés par le logiciel malveillant comme canal d’échange.