Ứng dụng Calendar của Google có thể bị hacker lợi dụng

Volgens The Hacker News heeft Google gewaarschuwd dat meerdere kwaadwillende partijen openbare exploits delen die gebruikmaken van de agendaservice om een ​​command and control (C2)-infrastructuur te hosten.

De tool, genaamd Google Calendar RAT (GCR), gebruikt de evenementenfunctie van de app om commando's en controle uit te voeren via een Gmail-account. Het programma werd voor het eerst gepubliceerd op GitHub in juni 2023.

Beveiligingsonderzoeker MrSaighnal zei dat de code een verborgen kanaal creëert door evenementbeschrijvingen in de agenda-app van Google te misbruiken. In zijn achtste dreigingsrapport gaf Google aan dat het de tool nog niet in het wild had zien gebruiken, maar merkte wel op dat de dreigingsinlichtingeneenheid van Mandiant verschillende dreigingen had gezien die proof-of-concept (PoC)-exploits deelden op geheime forums.

Google zegt dat GCR draait op een gecompromitteerde machine en de gebeurtenisbeschrijving periodiek scant op nieuwe opdrachten, deze uitvoert op het doelapparaat en de beschrijving bijwerkt met de opdracht. Het feit dat de tool op een legitieme infrastructuur draait, maakt het moeilijk om verdachte activiteiten te detecteren.

Deze zaak toont opnieuw het verontrustende gebruik van clouddiensten door cybercriminelen aan om te infiltreren en zich te verbergen op de apparaten van slachtoffers. Eerder gebruikte een groep hackers, waarvan men vermoedde dat ze banden hadden met de Iraanse overheid, documenten met macro's om een ​​achterdeur te openen op Windows-computers en opdrachten te geven via e-mail.

Google zegt dat de backdoor IMAP gebruikt om verbinding te maken met een webmailaccount dat door de hacker wordt beheerd, e-mails te analyseren op opdrachten, deze uit te voeren en e-mails met de resultaten terug te sturen. Het dreigingsanalyseteam van Google heeft de door de aanvaller beheerde Gmail-accounts die de malware als kanaal gebruikte, uitgeschakeld.