Neuartiger Google Kalender RAT bedroht Cybersicherheit durch verdeckte Command & Control-Operationen

Der Google Calendar RAT (GCR) ist ein Proof-of-Concept für Command & Control (C2) über Google Kalenderereignisse. Er kommt zum Einsatz, wenn der Aufbau einer vollständigen Red-Teaming-Infrastruktur eine Herausforderung darstellt.

Der GCR benötigt ein Gmail-Konto und nutzt die Beschreibungen von Kalenderereignissen als „verdeckten Kanal“ für direkte Verbindungen zu Google. Darüber hinaus fungiert er als eine Art Layer 7-Anwendung, genannt Covert Channel, wie von seinem Entwickler und Forscher Mr. Saighnal (alias Valerio Alessandroni) berichtet.

Wenn der GCR auf einem kompromittierten Computer läuft, überprüft er in regelmäßigen Abständen die Kalenderereignisbeschreibung auf neue Befehle. Anschließend führt er diese Befehle auf dem Zielgerät aus und fügt die Ergebnisse der Befehle der Ereignisbeschreibung hinzu. Laut dem Entwickler kommuniziert der GCR ausschließlich über die offizielle Google-Infrastruktur, was es Verteidigern erschwert, ungewöhnliches Verhalten zu erkennen.

Arbeitsablauf des GCR Das Red-Teaming-Tool verwendet Google-Kalenderereignisse für C2. Das Tool ermöglicht es einem Angreifer, Befehle im Beschreibungsfeld von Google-Kalenderereignissen zu platzieren.

GCR verbindet sich mit einem geteilten Google-Kalender-Link, überprüft auf ausstehende Befehle und erstellt einen neuen „whoami“, falls keiner vorhanden ist.

Jedes Ereignis besteht aus zwei Teilen: Der Titel enthält eine eindeutige ID, die mehrere Befehle unter derselben ID planen lässt, und die Beschreibung enthält den auszuführenden Befehl und sein base64-kodiertes Ergebnis, getrennt durch „|“.

Die Verbindungen erscheinen völlig legitim, da sie sich netzwerktechnisch auf Googles Server beschränken.

Nutzung des GCR Hier sind die Schritte zur Nutzung des GCR:

• Erstellen Sie ein Google Service-Konto, holen Sie sich die credentials.json-Datei und platzieren Sie sie im Verzeichnis des Skripts.
• Erstellen Sie einen neuen Google-Kalender, teilen Sie ihn mit dem Service-Konto und aktualisieren Sie das Skript mit Ihrer Kalenderadresse.
• Beim Ausführen auf dem Zielsystem wird automatisch ein Ereignis mit einer einzigartigen Ziel-ID erstellt und der Befehl „whoami“ ausgeführt.
• Verwenden Sie in der Ereignisbeschreibung der Kommunikation die folgende Syntax: CLEAR_COMMAND|BASE64_OUTPUT

Im März 2023 bemerkte Google TAG, dass eine mit dem Iran verbundene APT-Gruppe Gmail für C2 mit einem kleinen .NET-Backdoor, BANANAMAIL, nutzt. Der Backdoor überprüft über IMAP die E-Mail-Konten auf die Ausführung von Befehlen.

Bisher wurde GCR noch nicht in der Praxis beobachtet, aber Mandiant hat gesehen, dass mehrere Akteure den öffentlichen Proof-of-Concept auf Untergrund-Websites teilen. Google erwähnt in einem Bedrohungsbericht, dass weiterhin Interesse besteht, Cloud-Dienste zu missbrauchen.