Google Agenda-app kan door hackers worden misbruikt

Volgens The Hacker News heeft Google gewaarschuwd dat meerdere kwaadwillende partijen openbare exploits delen die gebruikmaken van de agendaservice om een ​​command and control (C2)-infrastructuur te hosten.

De tool, genaamd Google Calendar RAT (GCR), gebruikt de evenementenfunctie van de app om commando's en controle uit te voeren via een Gmail-account. Het programma werd voor het eerst gepubliceerd op GitHub in juni 2023.

Beveiligingsonderzoeker MrSaighnal zei dat de code een verborgen kanaal creëert door evenementbeschrijvingen in de agenda-app van Google te misbruiken. In zijn achtste dreigingsrapport gaf Google aan dat het de tool nog niet in het wild heeft zien gebruiken, maar merkte wel op dat de dreigingsinformatie-eenheid van Mandiant verschillende dreigingen heeft ontdekt die proof-of-concept (PoC)-exploits delen op geheime forums.

Google zegt dat GCR draait op een gecompromitteerde machine en de gebeurtenisbeschrijving periodiek scant op nieuwe opdrachten, deze uitvoert op het doelapparaat en de beschrijving bijwerkt met de opdracht. Het feit dat de tool op een legitieme infrastructuur draait, maakt het moeilijk om verdachte activiteiten te detecteren.

Deze zaak toont opnieuw het zorgwekkende misbruik van clouddiensten door cybercriminelen aan om te infiltreren en zich te verstoppen op de apparaten van slachtoffers. Eerder gebruikte een groep hackers, waarvan men vermoedde dat ze banden hadden met de Iraanse overheid, documenten met macro's om een ​​achterdeur te openen op Windows-computers en via e-mail controleopdrachten te geven.

Google zegt dat de backdoor IMAP gebruikt om verbinding te maken met een door hackers beheerd webmailaccount, e-mails te analyseren op opdrachten, deze uit te voeren en e-mails met de resultaten terug te sturen. Het dreigingsanalyseteam van Google heeft de door de aanvallers beheerde Gmail-accounts die de malware als kanaal gebruikte, uitgeschakeld.