Google カレンダー アプリがハッカーに悪用される可能性

Hacker Newsによると、Google は、複数の脅威アクターがカレンダー サービスを利用してコマンド アンド コントロール (C2) インフラストラクチャをホストする公開エクスプロイトを共有していると警告しました。

GoogleカレンダーRAT（GCR）と呼ばれるこのツールは、アプリのイベント機能を利用してGmailアカウントからコマンド＆コントロール（C&C）を発行します。このプログラムは2023年6月にGitHubで初めて公開されました。

セキュリティ研究者のMrSaighnal氏によると、このコードはGoogleカレンダーアプリの予定説明を悪用することで秘密のチャネルを作成するという。Googleは第8回脅威レポートで、このツールが実際に使用されているのを確認していないと述べているものの、同社の脅威インテリジェンス部門であるMandiantが、アンダーグラウンドフォーラムで概念実証（PoC）のエクスプロイトを共有した複数の脅威を確認したと述べている。

Googleによると、GCRは侵害されたマシン上で実行され、定期的にイベント記述をスキャンして新しいコマンドを探し、標的のデバイス上で実行し、そのコマンドで記述を更新する。このツールが正規のインフラストラクチャ上で動作するため、不審なアクティビティの検出は困難である。

この事例は、脅威アクターがクラウドサービスを悪用し、被害者のデバイスに侵入して身を隠すという懸念を改めて浮き彫りにしました。以前、イラン政府と関係があるとみられるハッカー集団が、マクロを含む文書を用いてWindowsコンピュータにバックドアを開き、電子メールでコマンドを送信していました。

Googleによると、このバックドアはIMAPを使用してハッカーが管理するウェブメールアカウントに接続し、メールを解析してコマンドを実行し、その結果を記載したメールを送り返すという。Googleの脅威分析チームは、マルウェアが感染経路として利用していた、攻撃者が管理するGmailアカウントを無効化した。