The Hacker News 에 따르면, Google은 여러 위협 행위자가 캘린더 서비스를 악용하여 명령 및 제어(C2) 인프라를 호스팅하는 공개적 악용 사례를 공유하고 있다고 경고했습니다.

Google 캘린더 RAT(GCR)이라는 도구는 앱의 이벤트 기능을 사용하여 Gmail 계정을 통해 명령하고 제어합니다. 이 프로그램은 2023년 6월에 처음 GitHub에 게시되었습니다.

보안 연구원인 MrSaighnal은 해당 코드가 Google 캘린더 앱의 이벤트 설명을 악용하여 은밀한 채널을 생성한다고 말했습니다. Google은 8번째 위협 보고서에서 해당 도구가 실제로 사용되는 것을 관찰하지 못했지만, Mandiant 위협 인텔리전스 부서에서 지하 포럼에서 작업 증명(PoC)을 공유한 여러 위협을 감지했다고 밝혔습니다.

Google은 GCR이 손상된 시스템에서 실행되어 주기적으로 이벤트 설명을 스캔하여 새로운 명령을 찾고, 대상 장치에서 이를 실행하고, 해당 명령으로 설명을 업데이트한다고 밝혔습니다. 이 도구는 합법적인 인프라에서 작동하기 때문에 의심스러운 활동을 감지하기가 매우 어렵습니다.

이 사례는 위협 행위자가 피해자의 기기에 침투하여 숨기 위해 클라우드 서비스를 이용하는 우려스러운 사례를 다시 한번 보여줍니다. 이전에는 이란 정부와 관련이 있는 것으로 추정되는 해커 그룹이 매크로 코드가 포함된 문서를 사용하여 Windows 컴퓨터에 백도어를 열고 이메일을 통해 제어 명령을 내렸습니다.

구글은 백도어가 IMAP를 사용하여 해커가 제어하는 ​​웹메일 계정에 접속하고, 이메일을 분석하여 명령을 실행한 후 결과가 포함된 이메일을 다시 보낸다고 밝혔습니다. Google의 위협 분석팀은 맬웨어의 매개체로 사용되는 공격자가 제어하는 ​​Gmail 계정을 비활성화했습니다.