Volgens The Hacker News heeft Google gewaarschuwd dat meerdere cybercriminelen openlijk exploits delen die gericht zijn op het misbruiken van de agendadienst van het bedrijf om command-and-control (C2)-infrastructuur op te slaan.
De tool, genaamd Google Calendar RAT (GCR), gebruikt de evenementenfuncties van de app om commando's te versturen en de app te besturen via een Gmail-account. Het programma werd voor het eerst gepubliceerd op GitHub in juni 2023.
Beveiligingsonderzoeker MrSaighnal zei dat de code een geheim kanaal creëert door gebruik te maken van gebeurtenisbeschrijvingen in de agenda-app van Google. In zijn achtste dreigingsrapport gaf Google aan dat het de tool niet in de praktijk heeft zien gebruiken, maar merkte wel op dat de dreigingsinformatie-eenheid Mandiant verschillende bedreigingen heeft gedetecteerd die proof-of-concept (PoC) exploits hebben gedeeld op ondergrondse fora.
Google Agenda zou door hackers misbruikt kunnen worden als commandocentrum.
Google zegt dat GCR draait op een gecompromitteerde machine, waarbij periodiek gebeurtenisbeschrijvingen worden gescand op nieuwe commando's, deze op het doelapparaat worden uitgevoerd en de beschrijvingen vervolgens worden bijgewerkt met een commando. Het feit dat deze tool op een legitieme infrastructuur draait, maakt het erg moeilijk om verdachte activiteiten te detecteren.
Deze zaak benadrukt eens te meer het alarmerende probleem van bedreigingen die clouddiensten misbruiken om apparaten van slachtoffers te infiltreren en zich daarin te verbergen. Eerder gebruikte een hackergroep, die naar verluidt banden had met de Iraanse overheid , documenten met macrocode om een achterdeur op Windows-computers te openen en tegelijkertijd via e-mail commando's te versturen.
Google verklaarde dat de backdoor IMAP gebruikte om verbinding te maken met webmailaccounts die door hackers werden beheerd. De backdoor analyseerde e-mails om commando's te extraheren, voerde deze uit en verstuurde e-mails met de resultaten terug. Het dreigingsanalyseteam van Google heeft de Gmail-accounts van de aanvallers, die als tussenstation voor de malware dienden, uitgeschakeld.
Bronlink
![[Foto] Premier Pham Minh Chinh ontvangt de Laotiaanse minister van Onderwijs en Sport Thongsalith Mangnormek](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765876834721_dsc-7519-jpg.webp&w=3840&q=75)
![[Foto] Premier Pham Minh Chinh ontvangt de gouverneur van de provincie Tochigi (Japan)](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765892133176_dsc-8082-6425-jpg.webp&w=3840&q=75)
![[Live] Gala van de Community Action Awards 2025](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765899631650_ndo_tr_z7334013144784-9f9fe10a6d63584c85aff40f2957c250-jpg.webp&w=3840&q=75)
![[Afbeelding] Gelekte afbeeldingen voorafgaand aan het Community Action Awards-gala van 2025.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765882828720_ndo_br_thiet-ke-chua-co-ten-45-png.webp&w=3840&q=75)
![[Foto] Premier Pham Minh Chinh woont het Vietnam Economic Forum 2025 bij](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/16/1765893035503_ndo_br_dsc-8043-jpg.webp)
Reactie (0)