ToddyCat sử dụng malware Umbrij để chiếm quyền truy cập Gmail qua OAuth
Nhóm APT ToddyCat vừa bị phát hiện sử dụng một loại malware mới có tên Umbrij, cho phép kẻ tấn công lợi dụng giao thức OAuth để chiếm quyền truy cập vào email doanh nghiệp trên...
Nhóm tin tặc khét tiếng ToddyCat vừa bị các chuyên gia an ninh mạng tại Kaspersky phát hiện đang triển khai một loại malware mới mang tên Umbrij. Công cụ này được thiết kế tinh vi nhằm chiếm quyền truy cập trái phép vào các tài khoản email doanh nghiệp thông qua Google API.
Table Of Content
Kỹ thuật Shadow Token via Remote Debug (STRD)
Điểm đáng chú ý nhất của chiến dịch này là việc kẻ tấn công lạm dụng giao thức OAuth 2.0. Bằng cách khởi chạy trình duyệt dựa trên nền tảng Chromium ở chế độ headless (không giao diện) thông qua cổng gỡ lỗi từ xa (remote debugging port), Umbrij có thể tận dụng các phiên đăng nhập Gmail đang hoạt động của người dùng để lấy token xác thực.
Kaspersky gọi kỹ thuật này là Shadow Token via Remote Debug (STRD). Thay vì đánh cắp mật khẩu trực tiếp, malware này giả lập các thao tác người dùng để cấp quyền cho một ứng dụng bên thứ ba, từ đó lấy được OAuth access token để truy xuất dữ liệu email, Drive, danh bạ và lịch của nạn nhân.
Cách thức lây nhiễm và vận hành
Umbrij được phát tán thông qua kỹ thuật DLL side-loading. Kẻ tấn công sử dụng các tệp tin thực thi hợp pháp từ các phần mềm như Bitdefender, Microsoft Visual Studio hoặc Google Desktop để đánh lừa hệ thống và khởi chạy tệp DLL độc hại đã được làm rối bằng ConfuserEx.
Sau khi xâm nhập vào máy chủ Windows, malware thực hiện các bước sau:
- Xác định người dùng hiện tại và sao chép token hệ thống để duy trì đặc quyền.
- Phân tích tệp cấu hình trình duyệt (Chrome/Edge) để tìm kiếm các tài khoản Google đã đăng nhập.
- Sao chép dữ liệu hồ sơ trình duyệt vào một thư mục tạm để khởi chạy trình duyệt ở chế độ headless.
- Sử dụng thư viện Puppeteer để điều khiển trình duyệt, tự động hóa việc cấp quyền truy cập cho một ứng dụng di chuyển dữ liệu (migration tool) giả mạo.
- Trích xuất mã ủy quyền OAuth và gửi về máy chủ của kẻ tấn công.
Khuyến nghị bảo mật
Để phòng chống nguy cơ từ Umbrij, các quản trị viên và người dùng doanh nghiệp nên thực hiện các bước sau:
- Truy cập trang quản lý kết nối tài khoản Google (myaccount.google.com/connections).
- Kiểm tra danh sách các ứng dụng được cấp quyền, đặc biệt là các ứng dụng có tên như “Google Workspace Migration for Microsoft Outlook” hoặc “Google Workspace Sync for Microsoft Outlook”.
- Thu hồi quyền truy cập ngay lập tức nếu phát hiện các ứng dụng lạ hoặc không còn nhu cầu sử dụng để vô hiệu hóa các OAuth token đã bị chiếm đoạt.
Việc ToddyCat liên tục cập nhật công cụ tấn công cho thấy mức độ nguy hiểm và sự kiên trì của nhóm APT này trong việc nhắm mục tiêu vào các hệ thống email doanh nghiệp tại châu Âu và châu Á.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.