谷歌發(fā)布警告稱，近日有多名黑客在網(wǎng)絡上共享一個概念驗證(PoC)漏洞，該漏洞可利用其Calendar服務來托管命令與控制(C2)基礎設施。

2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上發(fā)布，該工具能夠利用 Gmail 帳戶將谷歌 Calendar Events用于C2上。

此腳本的開發(fā)者和研究員Valerio Alessandroni表示：該腳本利用Google Calendar中的事件描述創(chuàng)建了一個名為MrSaighnal的隱秘通道，該通道可直接連接到谷歌。

谷歌在第八版Threat Horizons 報告中提到，目前并未觀察到該工具有在野外被使用的情況，但Mandiant威脅情報部門發(fā)現(xiàn)目前有幾個PoC的威脅行為者有在地下論壇上分享相關內(nèi)容。

谷歌方面表示：GCR 在受感染的機器上運行會定期輪詢 Calendar 事件描述，然后執(zhí)行獲取到的新命令，輸出更新事件描述。由于該工具只在合法基礎設施上運行，因此防御者很難及時地發(fā)現(xiàn)可疑活動。

這證明威脅行為者對于濫用云服務這件事還是比較感興趣的。比如某伊朗民族國家行為者，就曾利用宏文檔，通過一個代號為 BANANAMAIL 的 Windows NET 后門程序入侵了用戶，并借助電子郵件控制了C2。

谷歌方面表示：這個后門程序會利用 IMAP 連接攻擊者控制的網(wǎng)絡郵件賬戶，在那些賬戶中完成解析郵件以獲取命令、執(zhí)行命令，最終將包含解析結(jié)果的郵件重新發(fā)回。谷歌的威脅分析小組稱現(xiàn)已禁用那些被攻擊者控制Gmail 賬戶，以防止這些賬戶被其利用作為通道使用。