ToddyCat olarak bilinen tehdit aktörünün, Google API aracılığıyla kurbanın e-posta yazışmalarına gizlice erişim sağlamak için tasarlanan Umbrij adlı yeni bir kötü amaçlı yazılımla ilişkilendirildiği belirtiliyor.
Kaspersky, bu hafta yayınlanan ayrıntılı bir raporda, "Bu kampanyada, saldırganlar dikkatlerini Gmail'de barındırılan kurumsal e-posta iletişimlerine odakladı ve API'ler aracılığıyla erişim ihlali yapmayı hedefledi." dedi. "Google API, yetkilendirme için OAuth 2.0 protokolüne dayandığından uygulamalar, istenen e-posta kaynaklarına erişmek için bir OAuth jetonu kullanabilir."
Düşmanın Umbrij'i bu belirteci elde etmek ve uzaktan hata ayıklama bağlantı noktası aracılığıyla tarayıcının yönetim konsoluna başsız modda bağlanmak için kullanmak üzere geliştirdiği söyleniyor.
Uzmanların Görüşleri
Daha sonra, bir OAuth yetkilendirme kodu almak için bir dizi istek yayınlandı ve bu istek, daha sonra API aracılığıyla hedef kaynaklara ulaşmak için bir erişim jetonuyla değiştirildi. Tekniğe, Rus siber güvenlik sağlayıcısı tarafından Uzaktan Hata Ayıklama (STRD) aracılığıyla Shadow Token adı verildi.
Gelecekte Ne Bekleniyor?
Saldırının dikkat çekici yanı, Chromium tabanlı tarayıcılarda geçerli olması ve etkin bir Gmail oturumunu istismar etmesidir. Başka bir deyişle, fikir tarayıcıyı başsız modda başlatmak, kontrolü ele geçirmek için uzaktan hata ayıklama bağlantı noktası üzerinden bağlanmak ve Google hesabı kaynaklarına erişim elde etmek için önceden oturum açmış bir Gmail oturumundan yararlanmaktır.
Sistem Güvenliği
Umbrij'in üç farklı sürümü ortaya çıkarıldı; bunlar arasında hata ayıklamaya ve tarayıcıda kullanıcı hesaplarını aramaya ve seçmeye yönelik yardımcı işlevler içeren sürümler de yer alıyor.
ToddyCat, en az 2020'den beri Avrupa ve Asya'daki çeşitli kuruluşları hedef alan gelişmiş kalıcı tehdide (APT) verilen addır. Kasım 2025'te Kaspersky, bilgisayar korsanlığı grubunun, hedeflenen şirketlere ait Microsoft Outlook e-posta verilerine el koymak için TSectorCopy adlı özel bir araç kullandığını ayrıntılarıyla anlattı.
Sonuç ve Değerlendirme
Siber güvenlik şirketi, Umbrij'i "tehdit avlama operasyonu" olarak tanımladığı bir operasyon sırasında keşfettiğini ve bunun bir parçası olarak yazılımını ("KasperskyEndpointSecurityEDRAvp") taklit eden planlanmış bir görevin dijital olarak imzalanmış bir dosyayı başlatmak için kullanıldığını söyledi. İmzalanan dosya daha sonra Umbrij'i başlatmak için DLL yandan yüklemeyi kullandı.
Bu görevi gerçekleştirmek için, DLL yan yüklemesine duyarlı üç meşru ikili dosyadan biri kötüye kullanıldı -
BDSubWiz.exe, Bitdefender ConnectAgent'taki Gönderim Sihirbazının bir bileşeni
Bitdefender ConnectAgent'taki Gönderim Sihirbazı'nın bir bileşeni olan VSTestVideoRecorder.exe, Microsoft Visual Studio ile test etmek için kullanılan video kayıt aracının bir bileşenidir
Detaylar ve Etkileri
, Microsoft Visual Studio ile test yapmak için kullanılan video kayıt aracının bir bileşeni olan GoogleDesktop.exe, dosyaları indekslemek ve yerel bir Windows bilgisayarında hızlı aramalar gerçekleştirmek için kullanılan, artık üretilmeyen bir Google Masaüstü Arama uygulamasıdır.
Kullanılan yürütülebilir dosyadan bağımsız olarak, sonuç aynıdır: .NET'te yazılmış ve açık kaynaklı bir gizleme aracı olan ConfuserEx ile gizlenmiş sahte Umbrij DLL'nin başlatılması. Araç aynı zamanda hangi tarayıcıların hedefleneceğini (Google Chrome veya Microsoft Edge) belirten, kullanıcı profilinin ekran görüntüsünü PDF dosyası olarak kaydetme talimatını veren ve aracın altında çalışacağı sistem kullanıcı adını sağlayan komut satırı parametreleriyle birlikte de çağrılabilir.
Nasıl Önlem Alınmalı?
Umbrij iş akışı şeması
Umbrij, başlatıldığında, güvenliği ihlal edilmiş bir Windows ana bilgisayarında Gmail hesabını ihlal etmek için bir dizi hazırlık eylemi gerçekleştirir.
Önemli Gelişmeler
Tarayıcı hata ayıklaması için atanacak bağlantı noktasının kullanılabilirliğini doğrulayın.
Teknik Analiz
Oturum açmış kullanıcının tüm ayrıcalıklarını korumak için "explorer.exe" işlemini arayarak ve karşılaştığı ilk işlemin belirtecini kopyalayarak kullanıcı bağlamını alın. Alternatif olarak -user
Kullanıcının yerel uygulama veri deposundaki web tarayıcısı uygulama klasörünün yolunu oluşturun ve ardından depolanan tarayıcı kullanıcı profilleri hakkında bilgi toplamak için Chrome veya Edge'e karşılık gelen Yerel Durum dosyasını ayrıştırın.
Tüm profilleri numaralandırın ve e-posta adresi içeren "kullanıcı_adı" adlı alanı bulmak için bunları tarayın. Bir e-posta adresinin varlığının, kullanıcının bir Google hizmetinde kimliğinin doğrulandığının sinyalini verdiğini belirtmekte fayda var.
"%LOCALAPPDATA%\Google\Chrome\" ve "%LOCALAPPDATA%\Microsoft\Edge\" içinde "BackupFiles" adlı bir dizin oluşturun.
Her hedef kullanıcı profilinin aşağıdaki dosya ve klasörlerini bunlara kopyalayın: IndexedDB, Yerel Depolama, Ağ, Oturum Açma Verileri, Oturum Açma Hesap, Tercihler, Güvenli Tercihler ve Web Verilerine İlişkin Veriler. Bu dosyaların başka işlemler tarafından kilitlenmesi durumunda, araç bir zorla kopyalama mekanizması içerir.
Chrome ve Edge için tarayıcı yükleme klasörü için "Program Dosyaları" ve "Program Dosyaları (x86)" klasörlerini arayın.
"BackupFiles" klasörüne kopyalanan kullanıcı profilini kullanarak tarayıcıları başsız modda başlatın; bu, tarayıcının, oturum açmış Google hesabı da dahil olmak üzere tüm etkin kullanıcı çerezlerini uygulamasına ve kimlik doğrulamayı atlamasına neden olur.
Uzaktan hata ayıklama bağlantı noktasına bağlanmak ve tarayıcıyı yerel PST dosyalarını ve Microsoft Exchange hesaplarından bir Google Workspace hesabına aktarmak için kullanılan bir taşıma aracına karşılık gelen bir "client_id" içeren "accounts.google[.]com/o/oauth2/v2/auth/identifier" URL'sine yönlendirmek için bir yetkilendirme kodu isteği göndermek için Chromium tabanlı tarayıcıları Chrome DevTools Protokolü aracılığıyla kontrol etmek için kullanılan bir JavaScript kitaplığı olan Puppeteer'ı kullanın. HTTP GET isteği aynı zamanda uygulamanın gerektirdiği izin kümesini de belirtir.
URL'ye gittikten sonra uygun Google hesabını seçmek ve Gmail, Drive, Kişiler, Takvim ve Görevler'e tam erişim de dahil olmak üzere gerekli izinleri vermek için fare tıklaması etkinliklerini taklit etmek için JavaScript kullanın.
Tarayıcı oturumunu ilk istekte belirtilen yerel adrese yönlendirin ve OAuth yetkilendirme kodunu buradan çıkarın.
Kaspersky, "Umbrij, ToddyCat'in cephaneliğindeki diğer birçok araç gibi, eylemlerini ayrıntılı bir şekilde günlüğe kaydediyor ve bunları bir dosyaya kaydediyor" dedi. "Ayrıca, alınan yetkilendirme kodunu bu günlük dosyasına kaydeder; operatör daha sonra bu dosyayı tehlikeye atılan ana bilgisayardan sızdırır."
"Alınan yetkilendirme kodu daha sonra bir OAuth erişim jetonuyla değiştiriliyor. Tehdit aktörleri bu jetonu API aracılığıyla Gmail hesabına bağlanmak için kullanıyor ve böylece kurumsal e-posta iletişimini tehlikeye atıyor."
Tehdide karşı koymak için "myaccount.google[.]com/connections" adresine gidip "Google Workspace Migration for Microsoft Outlook" veya "Google Workspace Sync for Microsoft Outlook" adlı uygulamaları arayarak uygulamalara verilen yetkilendirme kodlarını incelemeniz önerilir. Bu uygulamalardan herhangi biri mevcutsa ve kuruluş içinde fiilen kullanılmıyorsa, OAuth belirteçlerini geçersiz kılmak için erişimlerinin iptal edilmesi önemlidir.
Kaspersky'nin kıdemli kötü amaçlı yazılım analisti Andrey Gunkin, "ToddyCat APT grubu kurumsal e-posta iletişimlerini tehlikeye atmanın yollarını aramaya devam ediyor" dedi. "Yeni araçları Umbrij, saldırganların kurumsal e-posta hesaplarına erişme girişimlerini otomatikleştiriyor. Bu otomasyon yalnızca saldırıların ölçeğini ve sıklığını artırmaya yardımcı olmakla kalmıyor, aynı zamanda ToddyCat'in güçlü motivasyonunu ve gelişmiş teknik becerilerini de gösteriyor."