ตามรายงานของ The Hacker News บริษัท Google ได้เตือนว่าผู้ก่อภัยคุกคามหลายรายกำลังแชร์ช่องโหว่สาธารณะที่ใช้บริการปฏิทินเพื่อโฮสต์โครงสร้างพื้นฐานคำสั่งและการควบคุม (C2)
เครื่องมือที่เรียกว่า Google Calendar RAT (GCR) ใช้ฟีเจอร์อีเวนต์ของแอปเพื่อออกคำสั่งและควบคุมโดยใช้บัญชี Gmail โปรแกรมนี้เผยแพร่ครั้งแรกบน GitHub ในเดือนมิถุนายน 2023
นายไซก์นัล นักวิจัยด้านความปลอดภัยกล่าวว่าโค้ดดังกล่าวสร้างช่องทางลับโดยใช้ประโยชน์จากคำอธิบายเหตุการณ์ในแอปปฏิทินของ Google ในรายงานภัยคุกคามฉบับที่ 8 Google กล่าวว่าไม่ได้สังเกตเห็นว่าเครื่องมือดังกล่าวถูกใช้งานจริง แต่สังเกตว่าหน่วยข่าวกรองภัยคุกคาม Mandiant ได้พบเห็นภัยคุกคามหลายกรณีที่ใช้ประโยชน์จากช่องโหว่การพิสูจน์แนวคิด (Proof-of-concept หรือ PoC) บนฟอรัมใต้ดิน
Google Calendar อาจถูกใช้ประโยชน์เป็นศูนย์ควบคุมและสั่งการสำหรับแฮกเกอร์
Google ระบุว่า GCR ทำงานบนเครื่องที่ถูกบุกรุก โดยจะสแกนคำอธิบายเหตุการณ์เป็นระยะๆ เพื่อค้นหาคำสั่งใหม่ จากนั้นจึงดำเนินการในอุปกรณ์เป้าหมาย และอัปเดตคำอธิบายด้วยคำสั่ง ความจริงที่ว่าเครื่องมือนี้ทำงานบนโครงสร้างพื้นฐานที่ถูกต้อง ทำให้ยากต่อการตรวจจับกิจกรรมที่น่าสงสัย
กรณีนี้แสดงให้เห็นอีกครั้งว่าผู้ก่อภัยคุกคามใช้บริการคลาวด์ที่น่าเป็นห่วงเพื่อแทรกซึมและซ่อนตัวอยู่ในอุปกรณ์ของเหยื่อ ก่อนหน้านี้ กลุ่มแฮกเกอร์ที่เชื่อว่ามีความเชื่อมโยงกับ รัฐบาล อิหร่านใช้เอกสารที่มีแมโครเพื่อเปิดประตูหลังในคอมพิวเตอร์ Windows และออกคำสั่งผ่านอีเมล
Google กล่าวว่าแบ็คดอร์ใช้ IMAP เพื่อเชื่อมต่อกับบัญชีเว็บเมลที่แฮกเกอร์ควบคุม จากนั้นวิเคราะห์อีเมลเพื่อหาคำสั่ง ดำเนินการตามคำสั่ง และส่งอีเมลที่มีผลลัพธ์กลับมา ทีมวิเคราะห์ภัยคุกคามของ Google ได้ปิดการใช้งานบัญชี Gmail ที่แฮกเกอร์ควบคุม ซึ่งมัลแวร์ใช้เป็นช่องทาง
ลิงค์ที่มา
การแสดงความคิดเห็น (0)