
主にヨーロッパやアジア太平洋地域を標的として活動する、政府機関や軍事・防衛関連組織を主なターゲットとした高度なサイバー攻撃グループ(APT)のひとつに、ToddyCatがあります。
ToddyCatはこれまでもブラウザデータやメールの窃取を試みていましたが、従来のセキュリティ製品(EPP/EDRなど)に検知されやすくなっていました。
そこで彼らは、セキュリティを回避し、攻撃の全ステージを自動化してGoogle API経由でGmailアカウントへ長期的に隠密アクセスする新ツール「Umbrij」を開発しました。
どんなものなのでしょうか。
- 攻撃手法「STRD(Shadow Token via Remote Debug)」のメカニズム
研究者はこの新しい攻撃手法を「STRD」と命名しています。パスワードを盗むのではなく、以下の手順でGoogleの正規の認証仕組み(OAuth 2.0)を悪用します。- アクティブなセッションの悪用
ユーザがブラウザ(ChromeやEdgeなど)でGmailにログインしたまま(サインアウトしていない状態)にしている場合、ブラウザ内に有効なセッションが残ります。 - ブラウザの乗っ取り
マルウェアがブラウザを「ヘッドレスモード(画面非表示)」かつ「リモートデバッグポート(開発者用の管理機能)」を開いた状態で密かに起動し、制御権を奪います。 - OAuthコードの自動リクエスト
ユーザの既存セッションの文脈を利用して、Googleアカウントのメールリソースへのアクセス許可を要求し、OAuth認可コードを自動的に取得します。 - API経由での常時アクセス
取得したコードをアクセス「トークン」に交換します。
以降はブラウザを介さず、GoogleのAPIを使って直接被害者のメールボックスへアクセスし、隠密にメールを窃取し続けます。
- アクティブなセッションの悪用
- ステルス性を高める「DLLサイドローディング」
マルウェアの起動には、正規のデジタル署名を持つ信頼されたソフトウェアの脆弱性を悪用する「DLLサイドローディング」が使われています。
彼らはカスペルスキーのEDRプロセスを装ったスケジュールタスクを作成し、以下の3つの正規プログラムを悪用してUmbrijを読み込ませていました。- Bitdefender関連のプログラム(BDSubWiz.exe)
- Visual Studio関連のプログラム(VSTestVideoRecorder.exe)
- 過去のGoogleデスクトップ検索(GoogleDesktop.exe)
- Umbrijの仕様
- 開発言語
.NET で書かれており、「ConfuserEx」というオープンソースのツールを使ってコードが高度に難読化(解析妨害)されています。 - バージョン
調査の中でa、b、cという3つのバージョンが発見されており、デバッグ、ブラウザのユーザープロファイル検索、アカウント特定、ポート確認などを自動化する様々なパラメータ(コマンドライン引数)が実装されています。
- 開発言語
マルウェア「Umbrij」を用いたToddyCatによる攻撃(STRD)は、従来のパスワード窃取とは異なり、ユーザの既存セッションから正規のOAuthトークンを隠密に生成してGoogle API経由でGmailへアクセスし続けるという非常に巧妙な手口です。
このため、認証情報の盗難だけを監視する従来のセキュリティ対策では検知が難しく、企業のクラウドメール(Google Workspaceなど)を狙う深刻な脅威となっています。
これに対抗する防御策として、組織のセキュリティチームは「正規プログラムを悪用した不審なDLL読み込み(DLLサイドローディング)」や「開発者・リモートデバッグモードでの予期せぬブラウザ起動」を捉えるエンドポイント監視(EDR/MDR)を強化するとともに、「Googleアカウントに連携されたサードパーティ製アプリの権限(OAuthトークン)を定期的に監査・取り消しする」という、ホストとクラウド双方にまたがる多層的なアプローチを講じることが極めて重要です。
ToddyCat: your hidden email assistant. Part 2
https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/
| この記事をシェア |
|---|