与ToddyCat关联的Umbrij恶意软件滥用OAuth通过Google API访问Gmail

与ToddyCat关联的Umbrij恶意软件滥用OAuth通过Google API访问Gmail
原文配图

导语:卡巴斯基披露与ToddyCat APT组织相关的新型恶意软件Umbrij,该工具通过滥用OAuth 2.0令牌,利用浏览器远程调试端口在无头模式下劫持活跃Gmail会话,进而访问企业Google账户邮件资源。该攻击技术被命名为STRD(Shadow Token via Remote Debug),已在基于Chromium的浏览器上得到验证。

卡巴斯基本周发布的详细报告指出,威胁行为者ToddyCat被归因于一款名为Umbrij的新型恶意软件,其设计目的是通过Google API隐蔽地访问受害者的电子邮件通信。卡巴斯基表示:“在这一行动中,攻击者将注意力集中在托管在Gmail上的企业邮件通信上,针对通过API实现的访问入侵。由于Google API依赖OAuth 2.0协议进行授权,应用程序可以使用OAuth令牌来访问所请求的邮件资源。”

据称,该攻击者开发了Umbrij来获取此类令牌,并通过远程调试端口在无头(headless)模式下连接到浏览器的管理控制台,从而使用该令牌。随后,恶意软件发起一系列请求以获取OAuth授权码,再将其交换为访问令牌,最终通过API访问目标资源。俄罗斯网络安全厂商将这种技术命名为STRD(Shadow Token via Remote Debug,影子令牌远程调试)。

该攻击的显著之处在于它可在基于Chromium的浏览器上运行,并利用活跃的Gmail会话。换言之,攻击思路是在无头模式下启动浏览器,通过远程调试端口建立连接以夺取控制权,然后利用已登录的Gmail会话获取对Google账户资源的访问权限。研究人员已发现Umbrij的三个不同版本,其中包括包含用于调试、以及在浏览器内搜索和选择用户账户的辅助功能的版本。

ToddyCat是一个高级持续性威胁(APT)组织的代号,自2020年以来一直针对欧洲和亚洲的各类组织实施攻击。2025年11月,卡巴斯基曾详细披露该黑客组织使用一款名为TCSectorCopy的自研工具窃取目标企业的Microsoft Outlook邮件数据。

卡巴斯基表示,是在一次所谓“威胁狩猎行动”中发现了Umbrij。在此期间,一个伪装成其软件的计划任务(“KasperskyEndpointSecurityEDRAvp”)被用于启动一个经过数字签名的文件。该签名文件随后利用DLL侧加载(DLL side-loading)技术来启动Umbrij。为完成此任务,被滥用的合法二进制文件之一存在DLL侧加载漏洞。无论使用哪个可执行文件,最终结果都是相同的:启动使用.NET编写并经ConfuserEx(一种开源混淆器)混淆的恶意Umbrij DLL。该工具还可以通过命令行参数调用,以指定要针对的浏览器(Google Chrome或Microsoft Edge)、指示其将用户配置文件截图保存为PDF文件,并提供工具将以其身份运行的系统用户名。

Umbrij一旦启动,将在已失陷的Windows主机上执行一系列准备操作以入侵Gmail账户。卡巴斯基指出:“Umbrij与ToddyCat武器库中的大多数其他工具一样,会详细记录其操作并将其保存到文件中。它还会将获取的授权码保存到此日志文件中,操作者随后会从受感染的主机中将其外传。” “获取到的授权码随后被交换为OAuth访问令牌。威胁行为者使用该令牌通过API连接到Gmail账户,从而入侵企业邮件通信。”

为应对该威胁,建议通过导航到“myaccount.google[.]com/connections”查看授予应用程序的授权代码,然后查找名为“Google Workspace Migration for Microsoft Outlook”或“Google Workspace Sync for Microsoft Outlook”的应用程序。如果存在这些应用程序之一且组织内实际并未使用,则必须撤销其访问权限以使OAuth令牌失效。

卡巴斯基高级恶意软件分析师Andrey Gunkin表示:“ToddyCat APT组织一直在寻找入侵企业邮件通信的新方法。他们的新工具Umbrij自动化了攻击者获取组织电子邮件账户访问权限的尝试。这种自动化不仅有助于提高攻击的规模和频率,还展现了ToddyCat强烈的动机和先进的技术能力。”


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/toddycat-linked-umbrij-malware-abuses.html

作者:info@thehackernews.com (The Hacker News)