パスワード不要でGmailを覗き見?ToddyCatの新マルウェア「Umbrij」の手口

主にヨーロッパやアジア太平洋地域を標的として活動する、政府機関や軍事・防衛関連組織を主なターゲットとした高度なサイバー攻撃グループ(APT)のひとつに、ToddyCatがあります。
ToddyCatはこれまでもブラウザデータやメールの窃取を試みていましたが、従来のセキュリティ製品(EPP/EDRなど)に検知されやすくなっていました。
そこで彼らは、セキュリティを回避し、攻撃の全ステージを自動化してGoogle API経由でGmailアカウントへ長期的に隠密アクセスする新ツール「Umbrij」を開発しました。
どんなものなのでしょうか。

  • 攻撃手法「STRD(Shadow Token via Remote Debug)」のメカニズム
    研究者はこの新しい攻撃手法を「STRD」と命名しています。パスワードを盗むのではなく、以下の手順でGoogleの正規の認証仕組み(OAuth 2.0)を悪用します。
    1. アクティブなセッションの悪用
      ユーザがブラウザ(ChromeやEdgeなど)でGmailにログインしたまま(サインアウトしていない状態)にしている場合、ブラウザ内に有効なセッションが残ります。
    2. ブラウザの乗っ取り
      マルウェアがブラウザを「ヘッドレスモード(画面非表示)」かつ「リモートデバッグポート(開発者用の管理機能)」を開いた状態で密かに起動し、制御権を奪います。
    3. OAuthコードの自動リクエスト
      ユーザの既存セッションの文脈を利用して、Googleアカウントのメールリソースへのアクセス許可を要求し、OAuth認可コードを自動的に取得します。
    4. API経由での常時アクセス
      取得したコードをアクセス「トークン」に交換します。
      以降はブラウザを介さず、GoogleのAPIを使って直接被害者のメールボックスへアクセスし、隠密にメールを窃取し続けます。
  • ステルス性を高める「DLLサイドローディング」
    マルウェアの起動には、正規のデジタル署名を持つ信頼されたソフトウェアの脆弱性を悪用する「DLLサイドローディング」が使われています。
    彼らはカスペルスキーのEDRプロセスを装ったスケジュールタスクを作成し、以下の3つの正規プログラムを悪用してUmbrijを読み込ませていました。
    • Bitdefender関連のプログラム(BDSubWiz.exe)
    • Visual Studio関連のプログラム(VSTestVideoRecorder.exe)
    • 過去のGoogleデスクトップ検索(GoogleDesktop.exe)
  • Umbrijの仕様
    • 開発言語
      .NET で書かれており、「ConfuserEx」というオープンソースのツールを使ってコードが高度に難読化(解析妨害)されています。
    • バージョン
      調査の中でa、b、cという3つのバージョンが発見されており、デバッグ、ブラウザのユーザープロファイル検索、アカウント特定、ポート確認などを自動化する様々なパラメータ(コマンドライン引数)が実装されています。

マルウェア「Umbrij」を用いたToddyCatによる攻撃(STRD)は、従来のパスワード窃取とは異なり、ユーザの既存セッションから正規のOAuthトークンを隠密に生成してGoogle API経由でGmailへアクセスし続けるという非常に巧妙な手口です。
このため、認証情報の盗難だけを監視する従来のセキュリティ対策では検知が難しく、企業のクラウドメール(Google Workspaceなど)を狙う深刻な脅威となっています。

これに対抗する防御策として、組織のセキュリティチームは「正規プログラムを悪用した不審なDLL読み込み(DLLサイドローディング)」や「開発者・リモートデバッグモードでの予期せぬブラウザ起動」を捉えるエンドポイント監視(EDR/MDR)を強化するとともに、「Googleアカウントに連携されたサードパーティ製アプリの権限(OAuthトークン)を定期的に監査・取り消しする」という、ホストとクラウド双方にまたがる多層的なアプローチを講じることが極めて重要です。

ToddyCat: your hidden email assistant. Part 2
https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。