Google Agenda is onlangs het middelpunt geworden van een zorgwekkende cyberdreiging. Malware-ontwikkelaars hebben naar verluidt een methode bedacht om deze te exploiteren binnen een Command and Control (C2)-infrastructuur. Een proof-of-concept Google Calendar (RAT) trojan is opgedoken op GitHub en circuleert binnen ondergrondse hackforums. Google is zich volledig bewust van deze proof-of-concept-exploit en heeft gewaarschuwd voor de potentiële gevaren ervan.
MrSaighnal, een GitHub-gebruiker en lid van een Italiaans hackerscollectief, heeft deze kwetsbaarheid aan het licht gebracht door in juni 2023 een repository te publiceren met de naam ‘GCR Google Calendar Rat’. Een RAT, of Remote Access Trojan, is kwaadaardige software waarmee ongeautoriseerde personen toegang kunnen krijgen afstandsbediening krijgen over het apparaat van een slachtoffer.
In de beschrijving van de repository staat: “Google Calendar RAT is een PoC van Command&Control (C2) over Google Calendar Events. Deze tool is ontwikkeld voor die omstandigheden waarin het moeilijk is om een volledige red teaming-infrastructuur te creëren. Om GRC te gebruiken is alleen een Gmail-account vereist. Het script creëert een ‘Verborgen Kanaal’ door gebruik te maken van de evenementbeschrijvingen in Google Agenda. Het doelwit zal rechtstreeks verbinding maken met Google.” Het kan worden beschouwd als een Layer 7-applicatie Covert Channel. “
Het script maakt gebruik van gebeurtenisbeschrijvingen in Google Agenda om een geheim kanaal te creëren dat een directe verbinding tot stand brengt met de servers van Google. Hoewel Google niet heeft waargenomen dat deze tool in het wild wordt gebruikt, beschouwen ze het als een bedreiging die groot genoeg is om deze op te nemen in hun Threat Horizons-rapport over het derde kwartaal.
Google Agenda is een vertrouwde service, waardoor kwaadwillige activiteiten zich in het netwerkverkeer kunnen verbergen
Wat de Google Agenda RAT bijzonder verraderlijk maakt, is dat deze een legitieme infrastructuur gebruikt om een C2-netwerk te hosten. Het creëren van een geheim kanaal is een sleutelelement van de C2-infrastructuur. Kwaadwillige actoren vereisen dat het gecompromitteerde apparaat communiceert met een externe entiteit om gegevens te controleren en te exfiltreren. In het geval van deze tool maakt het gebruik van gebeurtenisbeschrijvingen in Google Agenda om dit geheime kanaal tot stand te brengen.
De GitHub-repository schetst de workflow van de GCR-aanval. Eerst plaatst de aanvaller een opdracht in het veld met de gebeurtenisbeschrijving van Google Agenda. Vervolgens maakt het doel verbinding met Google Agenda en controleert het periodiek op nieuwe opdrachten. Wanneer Google Agenda wordt bijgewerkt, haalt het doel de opdracht op en voert deze uit. Het doel werkt vervolgens de gebeurtenisbeschrijvingen bij met de opdrachtuitvoer, en de aanvaller haalt deze uitvoer op.
Deze stiekeme en slimme Google Agenda-RAT zou een teken kunnen zijn van wat er gaat gebeuren in de wereld van cyberbeveiliging. De erkenning door Google van de dreiging onderstreept de ernst ervan. Deze tool is echter slechts een proof of concept in Python, en de GitHub-repository vermeldt expliciet: “HET IS GEWOON EEN POC IN PYTHON, VRAAG ME ALSTUBLIEFT NIET HOE IK HET WAPONISEER!”
