Laut The Hacker News hat Google gewarnt, dass mehrere Bedrohungsakteure öffentliche Exploits teilen, die seinen Kalenderdienst ausnutzen, um Command-and-Control-Infrastrukturen (C2) zu hosten.
Das Tool namens Google Calendar RAT (GCR) nutzt die Ereignisfunktion der App, um Befehle und Kontrolle über ein Gmail-Konto zu erteilen. Das Programm wurde erstmals im Juni 2023 auf GitHub veröffentlicht.
Sicherheitsforscher Mr. Saighnal erklärte, der Code erzeuge einen verdeckten Kanal, indem er Ereignisbeschreibungen in Googles Kalender-App ausnutze. In seinem achten Bedrohungsbericht erklärte Google, man habe den Einsatz des Tools nicht beobachtet, merkte aber an, dass seine Threat-Intelligence-Einheit Mandiant mehrere Bedrohungen beobachtet habe, bei denen Proof-of-Concept-Exploits (PoC) in Untergrundforen geteilt wurden.
Google Kalender kann als Kommando- und Kontrollzentrum für Hacker missbraucht werden
Laut Google läuft GCR auf einem kompromittierten Rechner, durchsucht regelmäßig die Ereignisbeschreibung nach neuen Befehlen, führt diese auf dem Zielgerät aus und aktualisiert die Beschreibung mit dem Befehl. Da das Tool auf einer legitimen Infrastruktur läuft, ist es schwierig, verdächtige Aktivitäten zu erkennen.
Dieser Fall zeigt einmal mehr, wie besorgniserregend Cloud-Dienste von Cyberkriminellen genutzt werden, um sich auf den Geräten ihrer Opfer einzuschleichen und sich dort zu verstecken. Zuvor hatte eine Gruppe von Hackern, die vermutlich mit der iranischen Regierung in Verbindung stehen, Dokumente mit Makros genutzt, um eine Hintertür auf Windows-Computern zu öffnen und Befehle per E-Mail zu erteilen.
Google erklärte, die Hintertür nutze IMAP, um sich mit einem vom Hacker kontrollierten Webmail-Konto zu verbinden, E-Mails nach Befehlen zu durchsuchen, diese auszuführen und die Ergebnisse per E-Mail zurückzusenden. Das Bedrohungsanalyseteam von Google hat die vom Angreifer kontrollierten Gmail-Konten, die die Schadsoftware als Kanal nutzte, deaktiviert.
[Anzeige_2]
Quellenlink
Kommentar (0)