Unternehmensnetzwerke

Neues Spionage-Tool Umbrij kapert Gmail-Sitzungen

Gmail
Quelle: In Green/Shutterstock.com

Die APT-Gruppe ToddyCat nutzt das neue Tool Umbrij, um über präparierte Browser-Sitzungen unbefugten Zugriff auf Gmail- und Google-Konten zu erlangen.

Das Sicherheitsunternehmen Kaspersky hat ein bisher unbekanntes Werkzeug der APT-Gruppe ToddyCat entdeckt. Das Tool trägt den Namen Umbrij und ermöglicht Angreifern den unbefugten Zugriff auf Google-Konten, einschließlich E-Mails, Cloud-Speicher und Kontakte. Die Schadsoftware ist für Windows-Systeme konzipiert, nutzt jedoch eine Methode, die prinzipiell auch auf anderen Betriebssystemen anwendbar ist.

Anzeige

Funktionsweise der STRD-Technik über Debugging-Ports

Die Schadsoftware setzt eine Methode ein, die als Shadow Token via Remote Debug (STRD) bezeichnet wird. Diese Technik zielt auf Chromium-basierte Browser ab. Der Angriff nutzt eine bestehende, authentifizierte Gmail-Sitzung aus, die im Browser aktiv bleibt, solange keine Abmeldung vom Gmail-Konto erfolgt. Umbrij startet eine Browserinstanz, erlangt über einen Debugging-Port die Kontrolle und sendet im Hintergrund Anfragen an Gmail. Auf diese Weise erhalten Angreifer innerhalb der bestehenden Sitzung Zugriff auf weitere Google-Ressourcen, ohne dass Anmeldedaten erneut eingegeben werden müssen.

Das Werkzeug kann weitreichende Berechtigungen anfordern. Um den Autorisierungsprozess abzuschließen, interagiert Umbrij automatisch mit der Zustimmungsabfrage und bestätigt den angeforderten Zugriff durch einen Klick auf die Schaltfläche Zulassen. Dadurch erhält das Tool den Authentifizierungscode, der für den Zugriff auf die Zielressourcen erforderlich ist. Die Aktivitäten werden über den Debugging-Port hergestellt und als legitimer Prozess getarnt, sodass der Zugriff unentdeckt bleiben kann.

Gegenmaßnahmen zur Absicherung von Unternehmensnetzwerken

Zur Minimierung des Risikos wird empfohlen, Entwicklertools in Chromium-basierten Browsern für Anwender einzuschränken, die diese nicht zwingend für ihre Arbeit benötigen. Andrey Gunkin, Senior Malware Analyst bei Kaspersky, äußert sich zur Entwicklung wie folgt:

Anzeige

„Wir beobachten die Aktivitäten von ToddyCat bereits seit mehreren Jahren und sehen, wie die Gruppe ihre Tools und Angriffstechniken kontinuierlich weiterentwickelt. Umbrij verdeutlicht die anhaltenden Bemühungen des APT-Akteurs ToddyCat, seine operativen Fähigkeiten zu verbessern. Bei der Risikobewertung sollten Unternehmen berücksichtigen, dass das Starten eines Browsers mit aktiviertem Debugging-Port für die meisten Nutzer außerhalb der Webentwicklung unüblich ist. Entsprechend sollten Unternehmen Entwicklertools in Chromium-basierten Browsern für Nutzer deaktivieren, die diese nicht für ihre tägliche Arbeit benötigen. Dadurch lässt sich das Risiko minimieren und der Zugriff auf potenziell kompromittierte Tokens unterbinden.“

Andrey Gunkin, Senior Malware Analyst bei Kaspersky

Zusätzlich zu diesen Browser-Konfigurationen wird der Einsatz von umfassenden Sicherheitslösungen empfohlen, die Echtzeitschutz sowie Erkennungs- und Reaktionsfunktionen bieten. Der Zugriff auf aktuelle Bedrohungsdaten kann Security-Operation-Center-Teams dabei unterstützen, solche Angriffe frühzeitig zu identifizieren.

(Kaspersky/red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.