Skip to content

Umbrij: APT-rühmitus ToddyCat kaaperdab Gmaili seansse silumisportide kaudu

Lühidalt: Umbrij kasutab varjatud tunnuste (shadow token) tehnikaid brauseri silumisportide kaudu, et kaaperdada aktiivseid Google’i seansse ja pääseda ligi teistele teenustele ilma korduva autentimiseta.

APT-rühmitus ToddyCat kasutab uut spioneerimistööriista Umbrij, et saada Chromiumi-põhiste brauserite ja manipuleeritud seansside kaudu loata juurdepääs Gmaili, Google Cloudi ja kontaktiandmete ressurssidele. Kaspersky dokumenteeris Windowsi pahavara esmakordselt.

Kaspersky analüüsis APT-rühmituse ToddyCat seni tundmatut tööriista nimega Umbrij. Pahavara on suunatud eelkõige Windowsi süsteemide vastu ning võimaldab ründajatel pääseda ligi Google’i kontodele, e-kirjade arhiividele, pilvesalvestusele ja kontaktinimekirjadele. Aluseks olev tehnika on kavandatud platvormiüleseks.

Umbrij kasutab meetodit nimega Shadow Token via Remote Debug (STRD), mis on suunatud Chromiumi-põhistele brauseritele. Tööriist käivitab brauseriseansi ja saab silumispordi kaudu kontrolli juba aktiivse, autenditud Gmaili seansi üle. Taustal saadetakse Gmailile päringuid, mis kasutavad ära olemasolevat seanssi. See võimaldab ründajatel pääseda ligi täiendavatele Google’i ressurssidele ilma sisselogimisandmeid uuesti sisestamata. Lisaks võib tööriist taotleda ulatuslikke õigusi ning suhtleb automaatselt nõusolekupäringutega, klõpsates nupul „Luba“. Nii saab Umbrij vajalikud autentimiskoodid ressurssidele juurdepääsuks. Silumispordi kaudu toimuv tegevus varjatakse legitiimsete protsessidena.

Kaspersky vanemanalüütik Andrey Gunkin rõhutab: „Oleme ToddyCati jälginud aastaid ja näeme nende ründetehnikate pidevat täiustumist. Ettevõtted peaksid teadma, et sisselülitatud silumispordiga brauserid on tavakasutajate jaoks väljaspool veebiarendust ebatavalised. Seetõttu tuleks Chromiumi-põhiste brauserite arendajatööriistad keelata kasutajatel, kes neid ei vaja.“

Riski vähendamiseks soovitavad turvaeksperdid piirata arendajatööriistade kasutamist Chromiumi-põhistes brauserites üksnes nende kasutajatega, kellel on tegelik vajadus. Lisaks peaksid ettevõtted kasutusele võtma terviklikud turvalahendused reaalajapõhise kaitse ning tuvastus- ja reageerimisfunktsioonidega. Turbeoperatsioonide keskustele tuleks tagada juurdepääs värskele ohuteabele, et selliseid ründeid varakult tuvastada.


Allikas: www.it-daily.net · Avaldatud 3. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.

Share on: