Kamso Oguejiofor-Abugu
Veröffentlicht am: 8. November 2023 
Cybersicherheitsteams sind in höchster Alarmbereitschaft, da Google eine Schwachstelle in seinen eigenen Diensten – Google Kalender – aufgedeckt hat, die als Command-and-Control-Infrastruktur (C2) für Hacker fungieren. Der Threat Horizons-Bericht von Google hat einen Proof-of-Concept (PoC)-Exploit namens Google Calendar RAT (GCR) aufgedeckt, der Beschreibungen von Kalenderereignissen manipuliert, um einen verdeckten Kommunikationskanal einzurichten.
GCR wurde vom Forscher Valerio Alessandroni, auch bekannt als MrSaighnal, entwickelt und funktioniert, indem die Ereignisbeschreibungen in Google Kalender regelmäßig über ein Gmail-Konto nach Befehlen abgefragt werden. Sobald ein Befehl abgerufen wird, führt die Malware ihn auf dem infizierten Gerät aus und gibt die Ausgabe an die Kalenderbeschreibung zurück.
„Obwohl wir bisher noch keinen Einsatz von GCR in freier Wildbahn gesehen haben, hat Mandiant festgestellt, dass mehrere Akteure den öffentlichen Proof of Concept in Untergrundforen teilen, was das anhaltende Interesse am Missbrauch von Cloud-Diensten verdeutlicht.“ Das sagte Google in seinem Threats Horizon-Bericht für das dritte Quartal 3.
Dies ist nicht der einzige Fall, in dem Cloud-Dienste als Waffe eingesetzt werden, da die Threat Analysis Group (TAG) von Google andere Bedrohungsakteure entdeckt hat, die Google-Produkte in ihren Kampagnen missbrauchen. Im März 2023 beobachtete TAG „einen von der iranischen Regierung unterstützten Akteur, der Makrodokumente nutzte, um Benutzer mit einer kleinen .NET-Hintertür, BANANAMAIL, für Windows zu infizieren, die E-Mail für C2 verwendet.“
Die Auswirkungen dieser Methode sind für Cybersicherheitsexperten besorgniserregend, da herkömmliche C2-Infrastrukturen wie kompromittierte Server leichter zu erkennen und zu neutralisieren sind. Die subtile Nutzung von Diensten wie Google Kalender verlängert möglicherweise die Präsenz nicht autorisierter Akteure in Netzwerken und erschwert die Bemühungen von Cybersicherheitsteams, diese Bedrohungen abzufangen und einzudämmen.
Google hat auf diese Bedrohungen reagiert, indem es die mit der bekannten Malware verknüpften Gmail-Konten deaktiviert hat. Angesichts der weitreichenden Reichweite des Unternehmens in alltäglichen digitalen Aktivitäten ist der Einsatz wirksamer Sicherheitsprotokolle so hoch wie nie zuvor, um die Integrität und das Vertrauen der Benutzerdaten sicherzustellen.
„Bedrohungsakteure haben Cloud-basierten Speicher missbraucht, um Kampagnen-Infrastruktur zu hosten, Malware zu verbreiten, als Malware Command and Control (C2) zu fungieren und exfiltrierte Daten hochzuladen“, heißt es in dem Bericht.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.safetydetectives.com/news/hackers-target-google-calendar-for-command-and-control-exploit/
