Googles Kalender-app kan bli utnyttet av hackere.

Ifølge The Hacker News har Google advart om at flere trusselaktører offentlig deler angrep som har som mål å utnytte selskapets kalendertjeneste til å lagre kommando- og kontrollinfrastruktur (C2).

Verktøyet, kalt Google Kalender RAT (GCR), bruker programmets hendelsesfunksjoner til å utstede kommandoer og kontrollere det via en Gmail-konto. Programmet ble først publisert på GitHub i juni 2023.

Sikkerhetsforsker MrSaighnal sa at koden oppretter en hemmelig kanal ved å utnytte hendelsesbeskrivelser i Googles kalenderapp. I sin åttende trusselrapport sa Google at de ikke har observert verktøyet brukt i praksis, men bemerket at trusselintelligensenheten Mandiant har oppdaget flere trusler som har delt konseptutprøvinger (PoC) på undergrunnsfora.

Google sier at GCR kjører på en kompromittert maskin, skanner regelmessig hendelsesbeskrivelser for nye kommandoer, kjører dem på målenheten og oppdaterer beskrivelsene med en kommando. Det faktum at dette verktøyet opererer på legitim infrastruktur gjør det svært vanskelig å oppdage mistenkelig aktivitet.

Denne saken fremhever nok en gang det alarmerende problemet med trusler som misbruker skytjenester til å infiltrere og gjemme seg i ofrenes enheter. Tidligere har en hackergruppe angivelig knyttet til den iranske regjeringen brukt dokumenter som inneholdt makrokode til å åpne en bakdør på Windows-datamaskiner, og samtidig utstedt kontrollkommandoer via e-post.

Google opplyste at bakdøren brukte IMAP til å koble til webpostkontoer kontrollert av hackere, analyserte e-poster for å trekke ut kommandoer, utførte dem og sendte tilbake e-poster som inneholdt resultatene. Googles trusselanalyseteam deaktiverte Gmail-kontoene kontrollert av angriperne som skadevaren brukte som en kanal.