ToddyCat атакует Gmail через OAuth и браузерные сессии
Эксперты в области кибербезопасности зафиксировали новую высокотехнологичную кампанию, направленную на кражу корпоративных учетных записей Gmail. Группировка ToddyCat APT использует методы, которые стирают грань между действиями легитимного пользователя и работой вредоносного программного обеспечения. Основной целью злоумышленников является несанкционированное получение доступа к API Google посредством эксплуатации доверенных процессов и протоколов аутентификации.
В отличие от традиционных фишинговых атак, новый подход не пытается украсть пароль напрямую. Вместо этого хакеры перехватывают токены доступа, маскируя свою активность под штатную работу браузера, что позволяет им оставаться невидимыми для классических средств защиты конечных точек.
Shadow Token via Remote Debug: оружие нового поколения
Ключевым элементом атаки стал инструмент, получивший название Umbrij. Его работа базируется на протоколе OAuth 2.0, однако реализация выходит далеко за рамки стандартной эксплуатации. Группировка разработала технику, обозначенную как Shadow Token via Remote Debug (STRD). Эта тактика использует легитимные возможности удаленной отладки браузеров на базе Chromium для перехвата и полного контроля над активными сессиями.
Umbrij подключается к уже скомпрометированным браузерам в headless-режиме через специальный порт удаленной отладки. Процесс начинается с получения OAuth-кода авторизации через серию тщательно выверенных HTTP-запросов. Как только сессия браузера оказывается под контролем, злоумышленники получают возможность беспрепятственно перемещаться по сервисам Gmail. Главная опасность заключается в том, что системы мониторинга воспринимают эти действия как легитимные операции пользователя в браузере.
Этапы атаки и маскировка под «белый шум»
Для повышения скрытности ToddyCat активно применяет технику DLL sideloading (подгрузку библиотек), чтобы запускать вредоносный код в контексте доверенных приложений. Расследование показало, что компоненты Umbrij маскируются под легитимные процессы, такие как:
- Bitdefender ConnectAgent (эксплуатация доверия к защитному ПО);
- Google Desktop и другие часто используемые утилиты.
Вредоносные DLL-библиотеки внедряются таким образом, чтобы их запуск не вызывал подозрений. Для автоматического выполнения на постоянной основе используются запланированные задачи (Scheduled Tasks), имитирующие обновления или фоновую активность легального софта.
При инициализации Umbrij проводит оценку операционной среды. Инструмент проверяет активные TCP-соединения и анализирует дубликаты токенов процесса explorer.exe. Это позволяет вредоносной программе повысить привилегии до уровня, необходимого для продолжения атаки без привлечения внимания систем аудита безопасности.
Технический разбор: манипуляции в обход MFA
Для программного взаимодействия с браузером используется библиотека Puppeteer Sharp. Umbrij формирует точные пути к пользовательским профилям браузеров, получая доступ к критически важным данным. Взаимодействие с механизмами аутентификации Google автоматизировано до мельчайших деталей с помощью JavaScript-инъекций.
Процесс кражи выглядит как безупречная имитация человеческого поведения: инструмент автоматически «кликает» на страницы выбора аккаунта, подтверждает разрешения и манипулирует элементами интерфейса. Кульминацией процесса становится несанкционированное получение кода авторизации OAuth. Этот код не только открывает доступ к содержимому почтового ящика, но и позволяет взаимодействовать с данными пользователя через API. Вся информация, включая захваченные коды, тщательно логируется и сохраняется в файл для последующей эксфильтрации на серверы атакующих.
Меры защиты: на что обратить внимание
Учитывая способность группировки обманывать стандартные антивирусные решения, организациям необходимо пересмотреть подход к защите. Специалисты рекомендуют сконцентрироваться на следующем:
- Мониторинг загрузки DLL: Отслеживайте нестандартные загрузки библиотек процессами, особенно связанными с Bitdefender ConnectAgent и обновлениями Google.
- Аудит Google Workspace: Регулярно проверяйте и отзывайте доступ сторонних приложений, которые имеют избыточные разрешения на чтение почты.
- Контроль режима разработчика: Активность на портах удаленной отладки браузеров должна находиться под непрерывным надзором. Включенные инструменты разработчика на пользовательских машинах без явной необходимости — серьезный индикатор компрометации.
Эволюция техник ToddyCat APT демонстрирует, что современные Advanced Persistent Threat (APT) группы все чаще полагаются не на взлом кода, а на кражу сессий через злоупотребление доверенными протоколами. В таких условиях только глубокий анализ поведения приложений и строгая политика контроля доступа способны предотвратить масштабную утечку конфиденциальных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



