Им пользуется группа ToddyCat
Эксперты «Лаборатории Касперского» обнаружили новый вектор атаки и инструментарий для компрометации корпоративной почты в Gmail. С их помощью злоумышленники могут получать доступ к аккаунтам пользователей через API и читать переписки, а также собирать данные из календаря и других сервисов Google, оставаясь незамеченными на протяжении длительного времени. К таким выводам исследователи пришли в ходе изучения активности группы ToddyCat.
Новый способ компрометации почты Gmail. Сторонние приложения могут запрашивать доступ к сервисам Google через API. Например, если пользователю нужно синхронизировать данные календаря на мобильном телефоне с электронной почтой. Для подтверждения требуется OAuth-токен. Чтобы получить такой токен и, соответственно, доступ к нужным ресурсам, злоумышленники разработали инструмент Umbrij. Он нацелен на Windows, однако потенциально может использоваться в атаках на пользователей других операционных систем. Инструмент может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения. Исследователи «Лаборатории Касперского» назвали эту технику Shadow Token via Remote Debug (STRD).
Данная атака возможна в браузерах на основе движка Chromium. Если пользователь не вышел из своего аккаунта в Gmail, браузер сохраняет его сессию авторизации — чем и пользуются атакующие. Они запускают экземпляр браузера, подключаются через отладочный порт и отправляют запросы к Gmail на получение доступа к ресурсам учётной записи Google — в рамках сохранённой пользовательской сессии. Таким образом, злоумышленникам не требуется вводить данные для входа.
«Электронная почта по-прежнему остаётся основным средством служебной переписки в компаниях, и злоумышленники прибегают к разным методам, чтобы её прочитать. Обнаружение Umbrij — ещё одно тому подтверждение. Инструмент позволяет атакующим автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растёт масштаб и частота атак. Находка также говорит о высокой мотивации и эволюции технических навыков группы ToddyCat, — комментирует Андрей Гунькин, эксперт по кибербезопасности в „Лаборатории Касперского“. — Для защиты от подобных угроз организациям необходимо внимательно отслеживать необычную активность. Например, запуск браузера с включённым портом отладки — нетипичное поведение для большинства пользователей, не связанных со сферой разработки веб-приложений. Также важно регулярно проводить аудит сторонних приложений и сервисов, имеющих доступ к учётным записям Google. Чтобы снизить риски, можно также рассмотреть возможность отключить инструменты разработчика в браузерах на основе Chromium для сотрудников, которым они не требуются для повседневной работы».
Узнать более подробную информацию о новом инструменте ToddyCat можно в статье на Securelist.
Решения «Лаборатории Касперского», такие как Kaspersky EDR Expert, детектируют описанную вредоносную активность.
Чтобы защититься от сложных кибератак, «Лаборатория Касперского» также рекомендует компаниям:
· использовать комплексную защиту компаний от широкого спектра киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EPP, EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
· предоставлять ИБ-специалистам доступ к информации о новейших тактиках, техниках и процедурах злоумышленников. Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленным экспертами «Лаборатории Касперского» более чем за 25 лет;
· внедрять решения для управляемой защиты, такие как Kaspersky Compromise Assessment, Kaspersky Managed Detection and Response и/или Kaspersky Incident Response, охватывающие весь цикл реагирования на инциденты — от обнаружения угроз до их устранения.
