-
09/04/2020
-
141
-
2.016 bài viết
ToddyCat dùng mã độc Umbrij chiếm quyền truy cập Gmail doanh nghiệp qua Google API
Một chiến dịch tấn công mạng mới do nhóm APT ToddyCat thực hiện mới bị phát giác, tin tặc sử dụng một mã độc chưa từng được ghi nhận trước đây mang tên Umbrij nhằm âm thầm chiếm quyền truy cập vào các tài khoản Gmail doanh nghiệp. Thay vì đánh cắp mật khẩu hay vượt qua xác thực đa yếu tố (MFA), Umbrij lợi dụng cơ chế xác thực hợp pháp của Google dựa trên OAuth 2.0 để lấy mã thông báo truy cập, từ đó truy cập trực tiếp vào dữ liệu email thông qua Google API.
Ảnh: Internet
Theo các nhà nghiên cứu an ninh mang thì đây là phương thức tấn công tinh vi bởi kẻ tấn công không cần biết mật khẩu của nạn nhân mà vẫn có thể đọc email, tải tệp đính kèm và truy cập nhiều dịch vụ Google Workspace khác. Chiến dịch cũng cho thấy xu hướng mới của các nhóm APT khi chuyển trọng tâm từ việc chiếm quyền điều khiển máy tính sang đánh cắp dữ liệu thông qua các giao thức và dịch vụ đám mây hợp pháp.
ToddyCat là ai?
ToddyCat là tên gọi của một nhóm APT (Advanced Persistent Threat) đã được cộng đồng an ninh mạng theo dõi từ ít nhất năm 2020. Nhóm này từng thực hiện nhiều chiến dịch gián điệp mạng nhằm vào các tổ chức tại châu Âu và châu Á, đặc biệt là các doanh nghiệp, cơ quan chính phủ và tổ chức có giá trị thông tin cao.
Khác với các nhóm tấn công sử dụng mã độc phổ biến, ToddyCat thường phát triển bộ công cụ riêng, liên tục thay đổi kỹ thuật nhằm tránh bị phát hiện. Trước đây, Kaspersky từng ghi nhận nhóm này sử dụng công cụ TCSectorCopy để đánh cắp dữ liệu email từ Microsoft Outlook của nhiều doanh nghiệp.
Trong chiến dịch mới nhất, mục tiêu của ToddyCat không còn là tệp PST của Outlook mà chuyển sang Gmail và Google Workspace, vốn đang được rất nhiều doanh nghiệp trên thế giới sử dụng.
Khác với các nhóm tấn công sử dụng mã độc phổ biến, ToddyCat thường phát triển bộ công cụ riêng, liên tục thay đổi kỹ thuật nhằm tránh bị phát hiện. Trước đây, Kaspersky từng ghi nhận nhóm này sử dụng công cụ TCSectorCopy để đánh cắp dữ liệu email từ Microsoft Outlook của nhiều doanh nghiệp.
Trong chiến dịch mới nhất, mục tiêu của ToddyCat không còn là tệp PST của Outlook mà chuyển sang Gmail và Google Workspace, vốn đang được rất nhiều doanh nghiệp trên thế giới sử dụng.
Umbrij là gì?
Umbrij là một mã độc được ToddyCat phát triển riêng nhằm mục đích chiếm quyền truy cập vào tài khoản Google của nạn nhân thông qua Google API.
Không giống nhiều loại malware truyền thống tập trung đánh cắp mật khẩu hoặc cookie trình duyệt, Umbrij hướng đến việc lấy OAuth Authorization Code rồi chuyển đổi thành OAuth Access Token. Sau khi có được Access Token hợp lệ, tin tặc có thể truy cập tài nguyên Google bằng chính các API chính thức mà không cần đăng nhập lại.
Điều này khiến hoạt động truy cập của kẻ tấn công trông giống như một ứng dụng hợp pháp đã được người dùng cấp quyền, gây khó khăn cho việc phát hiện nếu chỉ theo dõi các phiên đăng nhập thông thường.
Không giống nhiều loại malware truyền thống tập trung đánh cắp mật khẩu hoặc cookie trình duyệt, Umbrij hướng đến việc lấy OAuth Authorization Code rồi chuyển đổi thành OAuth Access Token. Sau khi có được Access Token hợp lệ, tin tặc có thể truy cập tài nguyên Google bằng chính các API chính thức mà không cần đăng nhập lại.
Điều này khiến hoạt động truy cập của kẻ tấn công trông giống như một ứng dụng hợp pháp đã được người dùng cấp quyền, gây khó khăn cho việc phát hiện nếu chỉ theo dõi các phiên đăng nhập thông thường.
Chiến dịch được phát hiện như thế nào?
Umbrij được phát hiện trong quá trình Threat Hunting hoạt động chủ động săn tìm các dấu hiệu xâm nhập trong hệ thống của khách hàng. Trong quá trình điều tra, các chuyên gia phát hiện một tác vụ theo lịch (Scheduled Task) giả mạo phần mềm bảo mật với tên KasperskyEndpointSecurityEDRAvp.
Tác vụ này không trực tiếp chạy mã độc mà khởi động một tệp thực thi hợp pháp đã được ký số. Sau đó, tin tặc lợi dụng kỹ thuật DLL Side-loading để buộc chương trình hợp pháp tải một thư viện DLL độc hại chính là Umbrij.
Đây là kỹ thuật quen thuộc của nhiều nhóm APT bởi quá trình thực thi bắt đầu từ một tệp hợp pháp, giúp vượt qua nhiều cơ chế bảo vệ và giảm khả năng bị các giải pháp bảo mật phát hiện.
Tác vụ này không trực tiếp chạy mã độc mà khởi động một tệp thực thi hợp pháp đã được ký số. Sau đó, tin tặc lợi dụng kỹ thuật DLL Side-loading để buộc chương trình hợp pháp tải một thư viện DLL độc hại chính là Umbrij.
Đây là kỹ thuật quen thuộc của nhiều nhóm APT bởi quá trình thực thi bắt đầu từ một tệp hợp pháp, giúp vượt qua nhiều cơ chế bảo vệ và giảm khả năng bị các giải pháp bảo mật phát hiện.
Tin tặc đã lợi dụng DLL Side-loading như thế nào?
Trong chiến dịch này, ToddyCat sử dụng một trong ba chương trình hợp pháp có lỗ hổng DLL Side-loading gồm:
- BDSubWiz.exe - thành phần của Bitdefender ConnectAgent.
- VSTestVideoRecorder.exe - công cụ ghi hình phục vụ kiểm thử của Microsoft Visual Studio.
- GoogleDesktop.exe - ứng dụng Google Desktop Search đã ngừng phát triển.
Các chương trình này khi được khởi động sẽ ưu tiên tải các thư viện DLL nằm trong cùng thư mục. Tin tặc chỉ cần đặt một DLL độc hại mang đúng tên mà chương trình mong đợi, hệ điều hành sẽ tự động nạp và thực thi mã độc thay vì thư viện hợp pháp.
Nhờ vậy, Umbrij có thể chạy dưới danh nghĩa của một chương trình đáng tin cậy mà không cần khai thác lỗ hổng thực thi mã hay vượt qua cơ chế kiểm soát quyền truy cập.
Nhờ vậy, Umbrij có thể chạy dưới danh nghĩa của một chương trình đáng tin cậy mà không cần khai thác lỗ hổng thực thi mã hay vượt qua cơ chế kiểm soát quyền truy cập.