Die Google Kalender-App kann von Hackern ausgenutzt werden

Laut The Hacker News hat Google gewarnt, dass mehrere Bedrohungsakteure öffentliche Exploits teilen, die seinen Kalenderdienst zum Hosten einer Command-and-Control-Infrastruktur (C2) ausnutzen.

Das Tool namens Google Calendar RAT (GCR) nutzt die Ereignisfunktion der App, um Befehle und Kontrolle über ein Gmail-Konto zu erteilen. Das Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.

Der Sicherheitsforscher Mr. Saighnal erklärte, der Code erzeuge einen verdeckten Kanal, indem er Ereignisbeschreibungen in Googles Kalender-App ausnutze. In seinem achten Bedrohungsbericht erklärte Google, man habe das Tool noch nicht im Einsatz beobachtet, merkte aber an, dass seine Threat-Intelligence-Einheit Mandiant mehrere Bedrohungen beobachtet habe, bei denen Proof-of-Concept-Exploits (PoC) in Untergrundforen geteilt wurden.

Laut Google läuft GCR auf einem kompromittierten Rechner, durchsucht die Ereignisbeschreibung regelmäßig nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Beschreibung mit dem Befehl. Da das Tool auf einer legitimen Infrastruktur läuft, ist es schwierig, verdächtige Aktivitäten zu erkennen.

Dieser Fall zeigt einmal mehr den besorgniserregenden Missbrauch von Cloud-Diensten durch Bedrohungsakteure, um auf den Geräten der Opfer einzudringen und sich dort zu verstecken. Zuvor hatte eine Gruppe von Hackern, die vermutlich mit der iranischen Regierung in Verbindung stehen, Dokumente mit Makros verwendet, um eine Hintertür auf Windows-Computern zu öffnen und Steuerbefehle per E-Mail zu erteilen.

Laut Google nutzt die Hintertür IMAP, um sich mit einem von Hackern kontrollierten Webmail-Konto zu verbinden, E-Mails nach Befehlen zu durchsuchen, diese auszuführen und E-Mails mit den Ergebnissen zurückzusenden. Das Bedrohungsanalyseteam von Google hat die von Angreifern kontrollierten Gmail-Konten, die die Schadsoftware als Kanal nutzte, deaktiviert.