• Добро пожаловать на сайт - Forumteam.bet !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

Обнаружен новый инструментарий для компрометации корпоративной почты в Gmail

Article Publisher

Публикатор
Команда форума
Регистрация
05.02.25
Эксперты «Лаборатории Касперского» обнаружили новый инструмент группировки ToddyCat, который позволяет незаметно получать доступ к корпоративной почте Gmail через Google API. Малварь под названием Umbrij использует активную сессию жертвы в браузере и добывает OAuth-токен без ввода пароля.

Как объясняют специалисты, для авторизации в Google API используется протокол OAuth 2.0, то есть при помощи токена OAuth приложения могут получать доступ к запрашиваемым ресурсам электронной почты и не только. Чтобы получить этот токен, хакеры создали Umbrij и с его помощью подключались к консоли управления браузером в скрытом режиме (headless) через отладочный порт.


Схема атаки
Атака работает в браузерах на базе Chromium. Дело в том, что если сотрудник не вышел из учетной записи Google, в профиле браузера сохраняются файлы cookie и данные авторизованной сессии. Umbrij копирует профиль, запускает Google Chrome или Microsoft Edge в фоновом режиме и открывает порт удаленной отладки.

После этого инструмент подключается к браузеру через протокол DevTools и инициирует OAuth-авторизацию. Поскольку сессия уже активна, повторно вводить учетные данные не требуется. Umbrij автоматически выбирает нужный аккаунт, подтверждает запрошенные разрешения и перехватывает код авторизации, который затем можно обменять на OAuth-токен.

Эту технику исследователи назвали Shadow Token via Remote Debug (STRD). Полученный токен позволяет хакерам обращаться к сервисам Google через API и читать почту, работать с файлами в Google Drive, получать через API доступ к контактам, данным календаря и другим сервисам Google. При этом активность не отображается основном профиле пользователя, так как Umbrij использует его отдельную копию.

Для маскировки запросов инструмент задействует идентификаторы легитимных приложений Google Workspace Migration for Microsoft Outlook и Google Workspace Sync for Microsoft Outlook. Однако список разрешений и параметры OAuth-запросов отличаются от тех, которые используют настоящие приложения. В частности, Umbrij запрашивает полный доступ к Gmail, облачному хранилищу и контактам.

Umbrij, как и большинство других инструментов ToddyCat, подробно логирует свои действия и сохраняет их в файл. Полученный код авторизации также записывается в лог-файл, который оператор выгружает со скомпрометированного хоста.

Кроме того, у малвари есть возможность создать PDF-файл для профиля пользователя в браузерах Google Chrome и Microsoft Edge при обращении к адресам edge://profile-internals и chrome://profile-internals.



Поскольку все запросы выполняются в фоновом режиме, в инструменте предусмотрена возможность создания PDF-файла со снимком страницы, на которой остановился процесс подтверждения прав.

Исследователи пишут, что обнаружили три версии Umbrij. Инструмент представляет собой DLL-библиотеку на .NET, обфусцированную с помощью ConfuserEx. Атакующие запускали ее с использованием техники DLL sideloading (с помощью легитимных файлов Bitdefender ConnectAgent, Visual Studio и устаревшего Google Desktop Search). В одном случае злоумышленники вообще создали задачу планировщика с именем KasperskyEndpointSecurityEDRAvp, пытаясь выдать вредоносную активность за работу защитного решения.

Отмечается, что хотя Umbrij нацелен на Windows, саму технику атаки потенциально можно адаптировать и для других ОС.

«Электронная почта по-прежнему остается основным средством служебной переписки в компаниях, и злоумышленники прибегают к разным методам, чтобы ее прочитать. Обнаружение Umbrij — еще одно тому подтверждение. Инструмент позволяет атакующим автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растет масштаб и частота атак. Находка также говорит о высокой мотивации и эволюции технических навыков группы ToddyCat», — комментирует Андрей Гунькин, эксперт по кибербезопасности в «Лаборатории Касперского».
Для обнаружения STRD специалисты рекомендуют отслеживать запуск Chromium-браузеров с параметрами --remote-debugging-port и --headless, ведь для обычных сотрудников такое поведение нетипично. Также администраторам советуют регулярно проверять список сторонних приложений, имеющих доступ к учетным записям Google, и отзывать разрешения у неизвестных сервисов.

На компьютерах сотрудников, которым не нужны инструменты веб-разработки, можно отключить DevTools с помощью корпоративных политик браузера. Исследователи также рекомендуют выходить из учетной записи Google после завершения работы: без сохраненной сессии Umbrij не сможет воспользоваться автоматической OAuth-авторизацией.
 
Сверху Снизу