Google sta mettendo in guardia da molteplici attori di minacce che condividono un exploit proof-of-concept (PoC) pubblico che sfrutta il servizio Calendar per ospitare infrastrutture di command-and-control (C2). In altre parole, consente agli hacker di comunicare con dispositivi compromessi attraverso gli eventi del calendario. Lo strumento, chiamato Google Calendar RAT (GCR), utilizza gli eventi del Calendario per il C2 utilizzando un account Gmail. È stato pubblicato per la prima volta su GitHub nel giugno 2023.
Ecco come agisce Google Calendar RAT
“Lo script crea un ‘Covert Channel’ sfruttando le descrizioni degli eventi in Google Calendar”, secondo quanto dichiarato dal suo sviluppatore, che si fa chiamare con lo pseudonimo online MrSaighnal. “Il target si connetterà direttamente a Google”.
“GCR, in esecuzione su un computer compromesso, controlla periodicamente la descrizione dell’evento di Calendar alla ricerca di nuovi comandi, per poi eseguirli sul dispositivo di destinazione e quindi aggiornare la descrizione dell’evento con l’output del comando”, ha dichiarato Google. “Il fatto che lo strumento operi esclusivamente su infrastrutture legittime rende difficile per i difensori rilevare attività sospette”.
Commento di Jake Moore, Global Security Advisor di ESET
“Google Calendar si collega a una serie di applicazioni di terze parti, rendendo questa minaccia ancora più intrusiva. Prendere di mira le piattaforme di Google può avere molteplici implicazioni, poiché molti altri servizi si basano e interagiscono con queste applicazioni. Questo exploit potrebbe anche evidenziare la continua attenzione degli attori delle minacce a sfruttare i servizi cloud come mezzo per integrarsi silenziosamente negli ambienti target ed evitare il rilevamento. Fortunatamente, il problema è stato disinnescato, ma è un buon richiamo a tenere sotto controllo quali servizi sono collegati e a connettere le applicazioni e i login solo con servizi affidabili e aggiornati”.
