谷歌發(fā)布警告稱，近日有多名黑客在網(wǎng)絡(luò)上共享一個(gè)概念驗(yàn)證(PoC)漏洞，該漏洞可利用其Calendar服務(wù)來(lái)托管命令與控制(C2)基礎(chǔ)設(shè)施。

2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上發(fā)布，該工具能夠利用 Gmail 帳戶將谷歌 Calendar Events用于C2上。

此腳本的開發(fā)者和研究員Valerio Alessandroni表示：該腳本利用Google Calendar中的事件描述創(chuàng)建了一個(gè)名為MrSaighnal的隱秘通道，該通道可直接連接到谷歌。

谷歌在第八版Threat Horizons 報(bào)告中提到，目前并未觀察到該工具有在野外被使用的情況，但Mandiant威脅情報(bào)部門發(fā)現(xiàn)目前有幾個(gè)PoC的威脅行為者有在地下論壇上分享相關(guān)內(nèi)容。

谷歌方面表示：GCR 在受感染的機(jī)器上運(yùn)行會(huì)定期輪詢 Calendar 事件描述，然后執(zhí)行獲取到的新命令，輸出更新事件描述。由于該工具只在合法基礎(chǔ)設(shè)施上運(yùn)行，因此防御者很難及時(shí)地發(fā)現(xiàn)可疑活動(dòng)。

這證明威脅行為者對(duì)于濫用云服務(wù)這件事還是比較感興趣的。比如某伊朗民族國(guó)家行為者，就曾利用宏文檔，通過(guò)一個(gè)代號(hào)為 BANANAMAIL 的 Windows NET 后門程序入侵了用戶，并借助電子郵件控制了C2。

谷歌方面表示：這個(gè)后門程序會(huì)利用 IMAP 連接攻擊者控制的網(wǎng)絡(luò)郵件賬戶，在那些賬戶中完成解析郵件以獲取命令、執(zhí)行命令，最終將包含解析結(jié)果的郵件重新發(fā)回。谷歌的威脅分析小組稱現(xiàn)已禁用那些被攻擊者控制Gmail 賬戶，以防止這些賬戶被其利用作為通道使用。