Google 캘린더 앱이 해커에 의해 악용될 수 있습니다.

The Hacker News 에 따르면, Google은 여러 위협 행위자가 캘린더 서비스를 악용하여 명령 및 제어(C2) 인프라를 호스팅하는 공개적 악용 사례를 공유하고 있다고 경고했습니다.

Google 캘린더 RAT(GCR)라는 이 도구는 앱의 이벤트 기능을 활용하여 Gmail 계정을 통해 명령 및 제어를 실행합니다. 이 프로그램은 2023년 6월 GitHub에 처음 게시되었습니다.

보안 연구원 MrSaighnal은 이 코드가 구글 캘린더 앱의 이벤트 설명을 악용하여 은밀한 채널을 생성한다고 밝혔습니다. 구글은 8차 위협 보고서에서 해당 툴이 실제로 사용되는 것을 목격하지 못했다고 밝혔지만, Mandiant 위협 인텔리전스 부서에서 지하 포럼에서 개념 증명(PoC) 익스플로잇을 공유하는 여러 위협을 목격했다고 밝혔습니다.

구글에 따르면 GCR은 감염된 컴퓨터에서 실행되며, 주기적으로 이벤트 설명을 스캔하여 새로운 명령을 확인하고 대상 기기에서 실행한 후 해당 명령으로 설명을 업데이트합니다. 하지만 이 도구는 정상적인 인프라에서 작동하기 때문에 의심스러운 활동을 탐지하기 어렵습니다.

이번 사례는 위협 행위자들이 클라우드 서비스를 이용해 피해자의 기기에 침투하고 은폐하는 데 얼마나 우려스러운지를 다시 한번 보여줍니다. 이전에는 이란 정부 와 연계된 것으로 추정되는 해커 집단이 매크로가 포함된 문서를 사용하여 윈도우 컴퓨터에 백도어를 열고 이메일을 통해 명령을 실행한 사례가 있었습니다.

구글은 이 백도어가 IMAP을 사용하여 해커가 제어하는 ​​웹메일 계정에 접속하고, 이메일에서 명령을 분석하여 실행한 후 결과가 포함된 이메일을 다시 전송한다고 밝혔습니다. 구글의 위협 분석팀은 이 악성코드가 침투 경로로 사용한 공격자가 제어하는 ​​Gmail 계정을 비활성화했습니다.