
ToddyCat 借 Umbrij 通过 OAuth 访问 Gmail
Kaspersky 指出,ToddyCat 相关新恶意软件 Umbrij 通过 Google API 和 OAuth 2.0 获取令牌,借助 Chromium 浏览器的远程调试与活跃 Gmail 会话窃取企业邮箱访问权。建议检查 myaccount.google[.]com/connections 并撤销未使用的相关应用授权。
被称为 ToddyCat 的威胁行为者被归因于一种名为 Umbrij 的新恶意软件,该软件旨在通过 Google API 悄然获取受害者的电子邮件通信访问权。
Kaspersky 在本周发布的一份详细报告中表示:“在这次活动中,攻击者将注意力集中在托管于 Gmail 的企业电子邮件通信上,目标是通过 API 进行访问破坏。由于 Google API 依赖 OAuth 2.0 协议进行授权,应用程序可以使用 OAuth token 访问所请求的电子邮件资源。”
据称,该对手开发 Umbrij 以获取该 token,并通过远程调试端口以 headless 模式连接到浏览器的管理控制台。
随后,系统会发出一系列请求以获取 OAuth authorization code,然后再将其兑换为 access token,以便通过 API 访问目标资源。俄罗斯网络安全厂商将该技术命名为 Shadow Token via Remote Debug (STRD)。
该攻击的值得注意之处在于,它可在基于 Chromium 的浏览器上实现,并利用一个活跃的 Gmail 会话。换言之,其思路是以 headless 模式启动浏览器,通过 remote debugging port 连接并夺取控制权,再利用一个已经登录的 Gmail 会话获取对 Google account 资源的访问权。
目前已发现三种不同版本的 Umbrij,其中包括带有调试 helper functions,以及用于在浏览器中搜索和选择用户账户的版本。
ToddyCat 是一个高级持续性威胁(APT)组织的名称,至少自 2020 年以来一直在欧洲和亚洲针对多个组织。2025 年 11 月,Kaspersky 详细披露了该黑客组织使用一款名为 TCSectorCopy 的自定义工具获取受害公司的 Microsoft Outlook 电子邮件数据。
该网络安全公司表示,它是在一次其称为“threat hunting operation”的行动中发现 Umbrij 的;在该行动中,一个冒充其软件(“KasperskyEndpointSecurityEDRAvp”)的 scheduled task 被用来启动一个经过数字签名的文件。随后,该签名文件利用 DLL side-loading 启动了 Umbrij。
为完成这一任务,攻击者滥用了三个容易遭受 DLL side-loading 的合法二进制文件 -
BDSubWiz.exe,Bitdefender ConnectAgent 中 Submission Wizard 的一个组件
VSTestVideoRecorder.exe,Microsoft Visual Studio 测试用视频录制工具的一个组件
GoogleDesktop.exe,已停止使用的 Google Desktop Search 应用程序,用于索引文件并在本地 Windows 电脑上进行快速搜索
无论使用哪一个可执行文件,最终结果都是一样的:启动由 .NET 编写、并使用开源混淆器 ConfuserEx 混淆过的恶意 Umbrij DLL。该工具也可以通过命令行参数调用,以指定要针对的浏览器(Google Chrome 或 Microsoft Edge),指示其将用户配置文件的截图保存为 PDF 文件,并提供工具运行所使用的系统用户名。
Umbrij 一旦启动,就会在受感染的 Windows 主机上执行一系列准备动作,以入侵 Gmail 账户 -
验证将被指定用于浏览器调试的端口是否可用。
通过搜索“explorer.exe”进程并复制其遇到的第一个此类进程的 token 来获取用户上下文,以保留该已登录用户的全部权限。或者,也可以将 -user <username> 开关与该工具一起使用,以指定需要复制 token 的目标用户。
构造用户本地应用数据仓库中 web browser 应用程序文件夹的路径,然后解析对应于 Chrome 或 Edge 的 Local State 文件,以收集已存储浏览器用户配置文件的信息。
枚举所有配置文件,并扫描其中名为“user_name”的字段,查找包含电子邮件地址的条目。需要注意的是,电子邮件地址的存在表明该用户已对 Google 服务进行了身份验证。
在 "%LOCALAPPDATA%\Google\Chrome\" 和 "%LOCALAPPDATA%\Microsoft\Edge\." 内创建一个名为“BackupFiles”的目录。
将每个目标用户配置文件中的以下文件和文件夹复制到其中:IndexedDB、Local Storage、Network、Login Data、Login Data For Account、Preferences、Secure Preferences 和 Web Data。如果这些文件被其他进程锁定,该工具还包含强制复制机制。
在 “Program Files” 和 “Program Files (x86)” 文件夹中搜索 Chrome 和 Edge 的浏览器安装目录。
使用复制到 “BackupFiles” 文件夹的用户配置文件以 headless 模式启动浏览器,从而让浏览器应用所有活动的用户 cookies,包括已登录的 Google account,并跳过身份验证。
使用 Puppeteer——一个用于通过 Chrome DevTools Protocol 控制基于 Chromium 的浏览器的 JavaScript 库——连接到 remote debugging port,并发送一个 authorization code 请求,将浏览器引导至 “accounts.google[.]com/o/oauth2/v2/auth/identifier” URL。该 URL 包含一个 “client_id”,对应于一个用于将本地 PST 文件以及来自 Microsoft Exchange 账户的数据导入 Google Workspace account 的迁移工具。该 HTTP GET 请求还指定了应用程序所需的一组权限。
使用 JavaScript 模拟鼠标点击事件,在跳转到该 URL 后选择适当的 Google account,并授予其所需权限,包括对 Gmail、Drive、Contacts、Calendar 和 Tasks 的完全访问权。
将浏览器会话重定向到初始请求中指定的本地地址,并从中提取 OAuth authorization code。
Kaspersky 表示:“Umbrij 与 ToddyCat 武器库中的大多数其他工具一样,会详细记录其行为并将其保存到文件中。它还会将获取到的 authorization code 保存到该日志文件中,而操作者随后会从受感染主机中将其外传。”
“获取到的 authorization code 随后会被兑换为 OAuth access token。威胁行为者使用该 token 通过 API 连接到 Gmail 账户,从而破坏企业电子邮件通信。”
为应对这一威胁,建议通过访问 “myaccount.google[.]com/connections” 来检查授予应用程序的 authorization codes,并查找名为 “Google Workspace Migration for Microsoft Outlook” 或 “Google Workspace Sync for Microsoft Outlook” 的应用。如果其中任一应用存在且组织实际上并未使用,则必须撤销其访问权限,以使 OAuth tokens 失效。
Kaspersky 高级恶意软件分析师 Andrey Gunkin 表示:“ToddyCat APT 组织持续寻找破坏企业电子邮件通信的方法。他们的新工具 Umbrij 自动化了攻击者获取组织电子邮件账户访问权的尝试。这种自动化不仅有助于扩大攻击规模和频率,也表明 ToddyCat 具有强烈动机和先进的技术能力。”