内容摘要：谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。2023 年 6 月， 谷歌 Calendar RAT (GC

谷歌发布警告称，谷歌警告近日有多名黑客在网络上共享一个概念验证(PoC)漏洞 ，大量洞该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施 。黑客

2023 年 6 月，披露 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，最新该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上 。概念

此脚本的亿华云验证开发者和研究员Valerio Alessandroni表示
：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道
，该通道可直接连接到谷歌 。谷歌警告

谷歌在第八版Threat Horizons 报告中提到，大量洞目前并未观察到该工具有在野外被使用的源码库黑客情况 ，但Mandiant威胁情报部门发现目前有几个PoC的披露威胁行为者有在地下论坛上分享相关内容 。

谷歌方面表示：GCR 在受感染的最新机器上运行会定期轮询 Calendar 事件描述 ，然后执行获取到的模板下载概念新命令
，输出更新事件描述 。验证由于该工具只在合法基础设施上运行，谷歌警告因此防御者很难及时地发现可疑活动 。

这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的云计算 。比如某伊朗民族国家行为者，就曾利用宏文档 ，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户 ，并借助电子邮件控制了C2 。服务器租用

谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户 ，在那些账户中完成解析邮件以获取命令 、执行命令 ，最终将包含解析结果的邮件重新发回。香港云服务器谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户
，以防止这些账户被其利用作为通道使用。