Google Kalender-appen kan utnyttes av hackere

Ifølge The Hacker News har Google advart om at flere trusselaktører deler offentlige angrep som utnytter kalendertjenesten deres til å være vert for kommando- og kontrollinfrastruktur (C2).

Verktøyet, kalt Google Kalender RAT (GCR), bruker appens hendelsesfunksjon til å gi kommandoer og kontroller ved hjelp av en Gmail-konto. Programmet ble først publisert på GitHub i juni 2023.

Sikkerhetsforsker MrSaighnal sa at koden oppretter en skjult kanal ved å utnytte hendelsesbeskrivelser i Googles kalenderapp. I sin åttende trusselrapport sa Google at de ikke har observert verktøyet i bruk i praksis, men bemerket at trusselintelligensenheten Mandiant har sett flere trusler som har delt konseptutprøvinger (PoC) på undergrunnsfora.

Google sier at GCR kjører på en kompromittert maskin, skanner regelmessig hendelsesbeskrivelsen for nye kommandoer, kjører dem på målenheten og oppdaterer beskrivelsen med kommandoen. Det faktum at verktøyet opererer på legitim infrastruktur gjør det vanskelig å oppdage mistenkelig aktivitet.

Denne saken viser nok en gang det bekymringsverdige misbruket av skytjenester av trusselaktører for å infiltrere og gjemme seg på ofrenes enheter. Tidligere brukte en gruppe hackere som antas å være knyttet til den iranske regjeringen dokumenter som inneholdt makroer for å åpne en bakdør på Windows-datamaskiner og utstede kontrollkommandoer via e-post.

Google sa at bakdøren bruker IMAP til å koble til en hackerkontrollert webpostkonto, analyserer e-poster for kommandoer, utfører dem og sender tilbake e-poster som inneholder resultatene. Googles trusselanalyseteam har deaktivert de angriperkontrollerte Gmail-kontoene som skadevaren brukte som en kanal.