Google Kalender-appen kan utnyttjas av hackare

Enligt The Hacker News har Google varnat för att flera hotaktörer delar offentliga attacker som utnyttjar deras kalendertjänst för att vara värd för kommando- och kontrollinfrastruktur (C2).

Verktyget, kallat Google Kalender RAT (GCR), använder appens händelsefunktion för att utfärda kommandon och kontroll med hjälp av ett Gmail-konto. Programmet publicerades först på GitHub i juni 2023.

Säkerhetsforskaren Mr Saighnal sa att koden skapar en hemlig kanal genom att utnyttja händelsebeskrivningar i Googles kalenderapp. I sin åttonde hotrapport sa Google att de inte hade observerat verktyget i det fria, men noterade att deras hotinformationsenhet Mandiant hade sett flera hot som hade delat proof-of-concept (PoC)-exploateringar på hemliga forum.

Google säger att GCR körs på en komprometterad maskin, och regelbundet skannar händelsebeskrivningen efter nya kommandon, kör dem på målenheten och uppdaterar beskrivningen med kommandot. Det faktum att verktyget körs på legitim infrastruktur gör det svårt att upptäcka misstänkt aktivitet.

Det här fallet visar återigen den oroande användningen av molntjänster av hotande aktörer för att infiltrera och gömma sig på offrens enheter. Tidigare använde en grupp hackare som tros vara kopplade till den iranska regeringen dokument som innehöll makron för att öppna en bakdörr på Windows-datorer och utfärda kommandon via e-post.

Google sa att bakdörren använder IMAP för att ansluta till ett webbmejlkonto som kontrolleras av hackaren, analyserar e-postmeddelanden för kommandon, kör dem och skickar tillbaka e-postmeddelanden som innehåller resultaten. Googles hotanalysteam har inaktiverat de angriparkontrollerade Gmail-konton som skadlig programvara använde som en kanal.