Geheim-Tool Umbrij: Hacker kapern Gmail-Konten unbemerkt

Geheim-Tool Umbrij: Hacker kapern Gmail-Konten unbemerkt

 Zugriff auf Gmail-Konten von Unternehmen: APT-Gruppe ToddyCat nutzt neues Tool Umbrij.

Die Experten von Kaspersky haben ein bislang unbekanntes Tool der APT-Gruppe ToddyCat identifiziert – Umbrij. Dieses kann Verbindungen über einen Debugging-Port herstellen und seine Aktivitäten als legitimen Prozess tarnen, so dass die Angreifer den Zugriff auf kompromittierte Umgebungen unentdeckt aufrechterhalten können.

 Zusammenfassung (TL; DR):

  • Kaspersky hat ein bisher unbekanntes Tool der APT (Advanced Persistent Group)-Gruppe ToddyCat identifiziert.
  • Mit ‚Umbrij‘ können sich die Angreifer über die API des Dienstes unbefugten Zugriff auf Google-Konten, darunter Mails, Cloud-Speicher und Kontakte, verschaffen.
  • Die Malware wurde für Angriffe auf Windows-Nutzer entwickelt, die Technik kann jedoch potenziell auch für andere Systeme eingesetzt werden.

Shadow Token via Remote Debug

Die neu identifizierte Technik, Shadow Token via Remote Debug (STRD), betrifft Chromium-basierte Browser. Zwar wurde die Malware für Angriffe auf Windows-Nutzer entwickelt, die zugrunde liegende Technik könnte jedoch auch potenziell auf anderen Systemen eingesetzt werden.

Der Angriff nutzt eine bestehende, authentifizierte Gmail-Sitzung aus, die im Browser aktiv bleibt, solange keine Abmeldung vom Gmail-Konto erfolgt. Angreifer können diese Sitzung missbrauchen, indem sie eine Browserinstanz starten, über einen Debugging-Port die Kontrolle erlangen und Anfragen an Gmail senden. Auf diese Weise erhalten sie innerhalb der bestehenden Sitzung Zugriff auf weitere Google-Ressourcen, ohne dass Anmeldedaten erneut eingegeben werden müssen.

Vollständiger Zugriff auf E-Mails, Cloud-Speicher und Kontakte

Umbrij kann weitreichende Berechtigungen anfordern, darunter den vollständigen Zugriff auf E-Mails, Cloud-Speicher und Kontakte. Um den Autorisierungsprozess abzuschließen, interagiert Umbrij automatisch mit der Zustimmungsabfrage und bestätigt den angeforderten Zugriff durch einen Klick auf die Schaltfläche „Zulassen“. Dadurch erhält Umbrij schließlich den Authentifizierungscode, der für den Zugriff auf die Zielressourcen erforderlich ist.

„Wir beobachten die Aktivitäten von ToddyCat bereits seit mehreren Jahren und sehen, wie die Gruppe ihre Tools und Angriffstechniken kontinuierlich weiterentwickelt“, so Andrey Gunkin, Senior Malware Analyst bei Kaspersky. „Umbrij verdeutlicht die anhaltenden Bemühungen des APT-Akteurs ToddyCat, seine operativen Fähigkeiten zu verbessern. Bei der Risikobewertung sollten Unternehmen berücksichtigen, dass das Starten eines Browsers mit aktiviertem Debugging-Port für die meisten Nutzer außerhalb der Webentwicklung unüblich ist. Entsprechend sollten Unternehmen Entwicklertools in Chromium-basierten Browsern für Nutzer deaktivieren, die diese nicht für ihre tägliche Arbeit benötigen. Dadurch lässt sich das Risiko minimieren und der Zugriff auf potenziell kompromittierte Tokens unterbinden.“

Empfehlungen zum Schutz vor Umbrij

  • Entwicklertools in Chromium-basierten Browsern für alle Nutzer deaktivieren, die diese nicht für ihre tägliche Arbeit benötigen.
  • Eine umfassende Sicherheitslösung einsetzen, die Echtzeitschutz, Transparenz über Bedrohungen sowie Untersuchungs- und Reaktionsfunktionen aus den Bereichen EPP, EDR und XDR bietet.
  • Managed-Security-Services helfen dabei, zusätzliche externe Expertise zu erhalten ohne weiteres Personal einzustellen. So können Unternehmen vor Cyberangriffen adäquat geschützt und Sicherheitsvorfälle entsprechend untersucht werden.
  • Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten gewähren.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung