Die Google Kalender-App kann von Hackern ausgenutzt werden

Laut The Hacker News warnt Google davor, dass mehrere Bedrohungsakteure öffentlich Exploits teilen, die den Kalenderdienst von Google nutzen, um eine Command-and-Control-Infrastruktur (C2) zu betreiben.

Das Tool namens Google Calendar RAT (GCR) nutzt die Ereignisfunktion der App, um über ein Gmail-Konto Befehle und Kontrolle auszuüben. Das Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.

Der Sicherheitsforscher MrSaighnal erklärte, der Code erstelle einen verdeckten Kanal, indem er Ereignisbeschreibungen in der Google-Kalender-App ausnutze. In seinem achten Bedrohungsbericht gab Google an, das Tool noch nicht in freier Wildbahn beobachtet zu haben, wies aber darauf hin, dass seine Bedrohungsanalyseeinheit Mandiant mehrere Bedrohungen festgestellt habe, die Proof-of-Concept-Exploits (PoC) in Untergrundforen geteilt hätten.

Laut Google läuft GCR auf einem kompromittierten Rechner, scannt regelmäßig die Ereignisbeschreibung nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Beschreibung mit dem jeweiligen Befehl. Da das Tool auf legitimer Infrastruktur operiert, ist es schwierig, verdächtige Aktivitäten zu erkennen.

Dieser Fall verdeutlicht erneut den besorgniserregenden Missbrauch von Cloud-Diensten durch Cyberkriminelle, um in die Geräte ihrer Opfer einzudringen und sich dort zu verstecken. Zuvor hatte eine Gruppe von Hackern, die mutmaßlich Verbindungen zur iranischen Regierung unterhielt, Dokumente mit Makros verwendet, um eine Hintertür in Windows-Computern zu öffnen und per E-Mail Kontrollbefehle zu senden.

Google gab bekannt, dass die Hintertür IMAP nutzt, um sich mit einem vom Hacker kontrollierten Webmail-Konto zu verbinden, E-Mails nach Befehlen zu durchsuchen, diese auszuführen und die Ergebnisse per E-Mail zurückzusenden. Googles Bedrohungsanalyseteam hat die vom Angreifer kontrollierten Gmail-Konten, die die Schadsoftware als Einfallstor nutzte, deaktiviert.