ToddyCat Grubunun Yeni Zararlısı Umbrij: Google API Üzerinden OAuth ile Gmail Erişimi Yazılım

ToddyCat Grubunun Yeni Zararlısı Umbrij: Google API Üzerinden OAuth ile Gmail Erişimi

ToddyCat APT grubunun yeni zararlısı Umbrij, Google API üzerinden OAuth token'larını çalarak Gmail hesaplarına erişiyor. Kaspersky detaylı analiz yayı

ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) grubu, Umbrij adlı yeni bir zararlı yazılım kullanarak Google API üzerinden kurbanların e-posta yazışmalarına gizlice erişiyor. Kaspersky'nin bu hafta yayınladığı rapora göre, saldırganlar Gmail'deki kurumsal e-posta iletişimlerini hedef alıyor ve API'ler aracılığıyla erişim sağlamak için OAuth 2.0 protokolünü kullanıyor. Umbrij, bu protokolün zafiyetlerinden faydalanarak OAuth token'ını ele geçiriyor ve tarayıcının yönetim konsoluna uzaktan hata ayıklama portu üzerinden bağlanıyor.

Saldırıda, Chromium tabanlı tarayıcılar hedef alınıyor ve aktif bir Gmail oturumu kullanılıyor. Zararlı yazılım, tarayıcıyı başsız modda başlatarak uzaktan hata ayıklama portu üzerinden kontrolü ele alıyor ve halihazırda oturum açılmış bir Gmail hesabını kullanarak Google hesabı kaynaklarına erişiyor. Kaspersky bu tekniği 'Uzaktan Hata Ayıklama ile Gölge Token (STRD)' olarak adlandırdı. Umbrij'in üç farklı sürümü tespit edildi; bunlardan bazıları hata ayıklama için yardımcı fonksiyonlar ve tarayıcı içinde kullanıcı hesaplarını arama ve seçme özellikleri içeriyor.

Umbrij, enfekte bir Windows sisteminde Gmail hesabına sızmak için bir dizi hazırlık eylemi gerçekleştiriyor. Öncelikle tarayıcı hata ayıklama için kullanılacak portun kullanılabilirliğini kontrol ediyor. Ardından 'explorer.exe' sürecini bularak ilk karşılaştığı sürecin token'ını kopyalıyor ve oturum açmış kullanıcının tüm ayrıcalıklarını elde ediyor. Tarayıcı profillerini tarayarak 'user_name' alanında e-posta adresi bulunan profilleri tespit ediyor. Daha sonra 'BackupFiles' adlı bir dizin oluşturup hedef profilin IndexedDB, Local Storage, Network, Login Data gibi dosyalarını buraya kopyalıyor. Chrome ve Edge için tarayıcı yükleme klasörlerini bularak tarayıcıyı başsız modda başlatıyor ve kopyalanan kullanıcı profili ile oturum açık Google hesabını kullanarak kimlik doğrulamayı atlıyor.

Sonuç ve Değerlendirme

Umbrij, Puppeteer JavaScript kütüphanesini kullanarak uzaktan hata ayıklama portuna bağlanıyor ve tarayıcıyı 'accounts.google.com/o/oauth2/v2/auth/identifier' adresine yönlendirerek OAuth yetkilendirme kodu talep ediyor. Bu istek, Google Workspace hesabına PST dosyaları ve Microsoft Exchange verilerini içe aktarmak için kullanılan bir geçiş aracının 'client_id'sini içeriyor. JavaScript ile fare tıklama olaylarını taklit ederek doğru Google hesabını seçiyor ve Gmail, Drive, Kişiler, Takvim ve Görevler dahil tam erişim izni veriyor. Son olarak, tarayıcıyı ilk istekte belirtilen yerel adrese yönlendirerek OAuth yetkilendirme kodunu alıyor. Kaspersky, Umbrij'in ToddyCat'in diğer araçları gibi eylemlerini detaylı bir şekilde günlüğe kaydettiğini belirtiyor.

Paylaş: