Google Kalender-App könnte von Hackern ausgenutzt werden

Laut The Hacker News hat Google gewarnt, dass mehrere Bedrohungsakteure öffentliche Exploits teilen, die seinen Kalenderdienst zum Hosten einer Command-and-Control-Infrastruktur (C2) ausnutzen.

Das Tool namens Google Calendar RAT (GCR) nutzt die Ereignisfunktion der App, um Befehle und Kontrolle über ein Gmail-Konto zu erteilen. Das Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.

Sicherheitsforscher Mr. Saighnal erklärte, der Code erzeuge einen verdeckten Kanal, indem er Ereignisbeschreibungen in Googles Kalender-App ausnutze. In seinem achten Bedrohungsbericht erklärte Google, man habe das Tool nicht im Einsatz beobachtet, merkte aber an, dass seine Threat-Intelligence-Einheit Mandiant mehrere Bedrohungen beobachtet habe, bei denen Proof-of-Concept-Exploits (PoC) in Untergrundforen geteilt worden seien.

Laut Google läuft GCR auf einem kompromittierten Rechner, durchsucht regelmäßig die Ereignisbeschreibung nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Beschreibung mit dem Befehl. Da das Tool auf einer legitimen Infrastruktur läuft, ist es schwierig, verdächtige Aktivitäten zu erkennen.

Dieser Fall zeigt einmal mehr, wie bedrohlich Cloud-Dienste von Cyberkriminellen genutzt werden, um sich in die Geräte ihrer Opfer einzuschleichen und sich dort zu verstecken. Zuvor hatte eine Gruppe von Hackern, die vermutlich mit der iranischen Regierung in Verbindung stehen, Dokumente mit Makros verwendet, um eine Hintertür auf Windows-Computern zu öffnen und Befehle per E-Mail zu erteilen.

Laut Google nutzt die Hintertür IMAP, um sich mit einem vom Hacker kontrollierten Webmail-Konto zu verbinden, E-Mails nach Befehlen zu durchsuchen, diese auszuführen und E-Mails mit den Ergebnissen zurückzusenden. Das Bedrohungsanalyseteam von Google hat die vom Angreifer kontrollierten Gmail-Konten, die die Schadsoftware als Kanal nutzte, deaktiviert.