Malware Umbrij Terkait ToddyCat Menyalahgunakan OAuth untuk Mengakses Gmail melalui Google API
Aktor ancaman yang dikenal sebagai ToddyCat telah dikaitkan dengan malware baru bernama Umbrij yang dirancang untuk mendapatkan akses diam-diam ke korespondensi email korban melalui Google API.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Aktor ancaman yang dikenal sebagai ToddyCat telah dikaitkan dengan malware baru bernama Umbrij yang dirancang untuk mendapatkan akses diam-diam ke korespondensi email korban…
Aktor ancaman yang dikenal sebagai ToddyCat telah dikaitkan dengan malware baru bernama Umbrij yang dirancang untuk mendapatkan akses diam-diam ke korespondensi email korban melalui Google API.
“Dalam kampanye ini, para penyerang memusatkan perhatian mereka pada komunikasi email perusahaan yang dihosting di Gmail, menargetkan penyusupan akses melalui API,” kata Kaspersky dalam laporan terperinci yang diterbitkan minggu ini. "Karena Google API bergantung pada protokol OAuth 2. 0 untuk otorisasi, aplikasi dapat menggunakan token OAuth untuk mengakses sumber daya email yang diminta."
Selanjutnya, serangkaian permintaan dikeluarkan untuk mendapatkan kode otorisasi OAuth, yang kemudian ditukar dengan token akses untuk mencapai sumber daya target melalui API. Teknik ini diberi nama kode Shadow Token via Remote Debug (STRD) oleh vendor keamanan siber Rusia.
Perusahaan keamanan siber tersebut mengatakan bahwa mereka menemukan Umbrij selama apa yang digambarkannya sebagai "operasi perburuan ancaman", yang merupakan bagian dari tugas terjadwal yang meniru perangkat lunaknya ("KasperskyEndpointSecurityEDRAvp") digunakan untuk meluncurkan file yang ditandatangani secara digital. File yang ditandatangani kemudian menggunakan side-loading DLL untuk meluncurkan Umbrij.
“Kode otorisasi yang diperoleh kemudian ditukar dengan token akses OAuth. Pelaku ancaman menggunakan token tersebut untuk terhubung ke akun Gmail melalui API, sehingga membahayakan komunikasi email perusahaan.”
“Kelompok APT ToddyCat terus mencari cara untuk menyusupi komunikasi email perusahaan,” kata Andrey Gunkin, analis malware senior di Kaspersky. “Alat baru mereka, Umbrij, mengotomatiskan upaya penyerang untuk mendapatkan akses ke akun email organisasi. Otomatisasi ini tidak hanya membantu meningkatkan skala dan frekuensi serangan mereka tetapi juga menunjukkan motivasi kuat dan keterampilan teknis tingkat lanjut ToddyCat.”
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.