Hackers Exploit Google Calendar API with Serverless MeetC2 Framework
2025/09/05 gbhackers — Google Calendar API を悪用することで、信頼できるクラウド・サービス内に悪意のトラフィックを隠蔽する、サーバーレス型の C2 (Command and Control) 手法が登場した。この MeetC2 と呼ばれる軽量クロス・プラットフォームの概念実証が示すのは、日常的に用いられる SaaS 環境に、攻撃者が C2 通信を組み込む方法であり、レッドチームとブルーチームの双方に対して、新たな検出/テレメトリ/対応の課題を提示する。
最近の社内パープル・チーム演習でセキュリティ・エンジニアたちが観察したのは、 Google ドメインへのトラフィックが、従来のネットワーク防御を容易に回避する様子である。標準のカレンダー API エンドポイントを悪用する攻撃者は、最小限の “organizer” エージェントと “guest” エージェントを作成する。
それにより、”oauth2.googleapis.com” および “www.googleapis.com” へ向けた正規 HTTPS リクエスト内で、コマンドを送受信できるようになる。なお、これらのドメインは、通常の企業環境でホワイト・リストに登録されている。
セキュリティ・チームが発見したのは、”guest” エージェントが Google Calendar の “events” エンドポイントを 30 秒ごとにポーリングし、新規エントリを不可視の形で確認する挙動である。その一方で “organizer” エージェントは、攻撃者のホストから操作され、イベントの “summary” フィールドに “Meeting from anyone: [Command]” の形式でコマンドを挿入する。
続いて、そのコマンドを、”guest” エージェントが取得/実行すると、PUT リクエストを介して同じイベントの “description” フィールドを更新し、出力を “[OUTPUT]…[/OUTPUT]” ブロックに埋め込む。
この手法では、すべての C2 交換が Google 独自の API ゲートウェイを経由するため、カスタム・サーバ・インフラは不要であり、また、フットプリントも最小限に抑えられるため、MeetC2 の設定は Google Cloud Console 内の数ステップで完了する。
ただし、アナリストにとって必要なことは、Calendar API を有効化し、イベント変更権限を持つサービス・アカウントを作成し、専用 Calendar を共有にすることだ。なお、ダウンロードした JSON キーを “credentials.json” にリネームすれば、1つのビルド・スクリプトで “organizer” バイナリと “guest” バイナリをコンパイルできる。
運用時においては、オペレーターが対象 Calendar ID を指定して “organizer” バイナリを実行し、”guest” バイナリ が侵害したホストをサイレントにポーリングする。実際のテストでは、MeetC2 が “whoami” や “uname -a” などのコマンドを実行し、標準的なデータ損失防止システムや、侵入防止システムをトリガーすることなく、秘匿性の高い偵察操作を行った。
この API の呼び出しは、正規の Calendar 同期トラフィックを模倣するため、ログに紛れ込み、シグネチャ・ベースの検出を回避する。それにより、ネットワーク・ノイズは限定的なものとなり、異常な DNS ルックアップが発生しないため、さらに検出は困難となる。
ブルーチームは、管理環境において MeetC2 を複製することで、クラウド不正検出機能を検証できる。この概念実証は、従来の GC2 シート実装を基にしており、OpSec の考慮事項を洗練させながら、クロス・プラットフォームの互換性を合理化している。
検知を実施するためには、API ゲートウェイのログを活用し、単一のサービス・アカウントによる、高頻度のイベント作成や更新といった、異常パターンを監視する必要がある。
Google Cloud Audit Logs を用いて繰り返して実行される、Calendar API 呼び出しにフラグを付け、イベント・ペイロードの概要や説明フィールドの内容を調査することで、隠れたチャネルを明らかにできる。さらに、サードパーティ製アプリ・ガバナンス・ツールでサービス・アカウント権限を厳格に制御し、Calendar 共有の変更にアラートを発する必要がある。
MeetC2 プロジェクトは、オープンソースとして GitHub で公開され、クラウドネイティブ C2 オペレーション対応をテストする実用的なプラットフォームを、防御側に提供している。開発者が指摘するのは、機能的には問題ないが、”guest” バイナリのエンドポイント・フォレンジック耐性や、運用セキュリティ強化には、改善の余地がある点だ。
攻撃者がサーバレス/クラウド・ベースの C2 アプローチを進化させ続けており、セキュリティ・チームに求められるのは、境界中心の防御から、より詳細なサービス・レベルのテレメトリと異常検出への移行となる。
MeetC2 のようなデモは、信頼できる SaaS ドメインにおける可視性の確保と、メタデータとペイロードを調査する、適応型防御の重要性を示している。制御環境で検出ルールと対応プレイブックを運用することで、組織は目に見えない進化型の脅威に先手を打てる。
Google Calendar API の悪用を実証する、新しい C2 PoC である MeetC2 が紹介されています。脅威アクターたちが多用する手口として、正規の API 機能を利用してコマンドの送受信を隠蔽する手法があります。攻撃者たちは、Calendar イベントの “summary” や “description” フィールドに情報を埋め込み、通常の通信に紛れさせることで防御をすり抜けています。API の正規利用に見えるため、ログや検知システムで見分けが難しいことが、この問題の本質的な要因となっています。この MeetC2 により、防御側のスキルが上がると期待されますね。よろしければ、カテゴリ RAT を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.