Laut The Hacker News hat Google gewarnt, dass mehrere Bedrohungsakteure öffentliche Exploits teilen, die seinen Kalenderdienst ausnutzen, um Command-and-Control-Infrastrukturen (C2) zu hosten.

Das Tool namens Google Calendar RAT (GCR) verwendet die Ereignisfunktion der App zur Steuerung und Kontrolle über ein Gmail-Konto. Dieses Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.

Der Sicherheitsforscher MrSaighnal sagte, der Code erstelle einen verdeckten Kanal, indem er Ereignisbeschreibungen in der Kalender-App von Google ausnutze. In seinem achten Bedrohungsbericht erklärte Google, dass es den Einsatz des Tools in freier Wildbahn nicht beobachtet habe, merkte jedoch an, dass seine Threat-Intelligence-Einheit Mandiant mehrere Bedrohungen entdeckt habe, die Proof of Work (PoC) in Untergrundforen geteilt hätten.

Laut Google läuft GCR auf einem kompromittierten Computer, durchsucht die Ereignisbeschreibung regelmäßig nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Beschreibung mit dem Befehl. Die Tatsache, dass dieses Tool auf einer legitimen Infrastruktur läuft, macht es sehr schwierig, verdächtige Aktivitäten zu erkennen.

Dieser Fall zeigt einmal mehr, wie besorgniserregend es ist, dass Bedrohungsakteure Cloud-Dienste nutzen, um in die Geräte ihrer Opfer einzudringen und sich dort zu verstecken. Zuvor hatte eine Gruppe von Hackern, die vermutlich mit der iranischen Regierung in Verbindung standen, Dokumente mit Makrocode verwendet, um eine Hintertür auf Windows-Computern zu öffnen und Steuerbefehle per E-Mail zu erteilen.

Laut Google verwendet die Hintertür IMAP, um eine Verbindung zu einem von Hackern kontrollierten Webmail-Konto herzustellen, analysiert E-Mails nach Befehlen, führt diese aus und sendet E-Mails mit den Ergebnissen zurück. Das Bedrohungsanalyseteam von Google hat von Angreifern kontrollierte Gmail-Konten deaktiviert, die von der Malware als Kanäle verwendet wurden.