Google日历在新的远程访问木马中被利用
Google日历最近成为令人担忧的网络安全威胁的焦点。据报道,恶意软件开发人员设计了一种在命令与控制(C2)基础设施中利用它的方法。一个概念验证的Google日历(RAT)木马已出现在GitHub上,并在地下黑客论坛中传播。谷歌充分意识到这种概念验证漏洞,并就其潜在危险发出了警告。
MrSaighnal是GitHub用户,也是意大利黑客组织的成员,他于2023年6月发布了一个名为“GCRGoogleCalendarRat”的存储库,从而曝光了此漏洞。RAT(远程访问木马)是一种恶意软件,允许未经授权的个人远程控制受害者的设备。
存储库描述指出,“GoogleCalendarRAT是GoogleCalendarEvents上的命令与控制(C2)PoC,该工具是针对难以创建整个红队基础设施的情况而开发的。要使用GRC,只需要Gmail帐户。该脚本通过利用Google日历中的事件描述来创建“隐蔽通道”。目标将直接连接到谷歌。”它可以被视为第7层应用程序隐蔽通道。“
该脚本利用Google日历中的事件描述来创建一个隐蔽通道,与Google服务器建立直接连接。虽然谷歌尚未观察到该工具在野外使用,但他们认为这是一个足够严重的威胁,因此将其纳入第三季度威胁范围报告中。
Google日历是一项值得信赖的服务,使得恶意活动有可能隐藏在其网络流量中
GoogleCalendarRAT特别阴险的原因在于它使用合法的基础设施来托管C2网络。创建隐蔽通道是C2基础设施的关键要素。恶意行为者要求受感染的设备与外部实体进行通信以控制和窃取数据。在此工具的情况下,它利用Google日历中的事件描述来建立此隐蔽通道。
GitHub存储库概述了GCR攻击的工作流程。首先,攻击者在Google日历的事件描述字段中放置一个命令。然后,目标连接到Google日历并定期检查新命令。当Google日历更新时,目标会检索命令并执行它。目标随后使用命令输出更新事件描述,并且攻击者检索此输出。
这种狡猾而聪明的Google日历RAT可能是网络安全世界即将发生的事情的一个标志。谷歌对威胁的认识凸显了其严重性。然而,这个工具只是Python中的一个概念证明,GitHub存储库明确指出:“它只是PYTHON中的一个POC,请不要问我如何将它武器化!”