ToddyCat APT、ConfuserExで難読化した.NETツールでGmailアカウント侵害を自動化

高度標的型攻撃(APT)グループ「ToddyCat」として知られる集団が、Gmailアカウントの侵害を自動化するために設計された新たな.NETベースのマルウェア「Umbrij」を用いて、サイバースパイ活動の能力を拡大しています。

従来の認証情報窃取攻撃とは異なり、このマルウェアはGoogleの OAuth認可プロセスを悪用してアクセストークンを取得し、攻撃者がパスワードを盗むことなく企業のメールアカウントにアクセスできるようにします。

今回新たに発見されたこのツールは、ConfuserExによって重厚な難読化が施されており、解析や検知を著しく困難にすることでセキュリティソリューションによる検出を回避しています。

研究者らの調査によると、Umbrijは特に業務用にGmailを利用している組織を標的としています。このマルウェアは、ユーザーが既に認証済みの状態でアクティブなブラウザセッションに焦点を当てています。

Chromiumブラウザのデバッグ機能を悪用することで、被害者に代わって密かにOAuth権限を要求し、後に有効なアクセストークンと交換できる認可コードを取得します。

この攻撃は、ToddyCatが過去のキャンペーンで繰り返し使用してきた手法であるDLLサイドローディングによってマルウェアが起動された後に始まります。

Umbrijは直接実行される代わりに、DLLハイジャックに脆弱な信頼済みアプリケーションの内部に潜伏します。これには、Bitdefender ConnectAgent、Microsoft Visual Studioのテストツール、そして提供が終了しているGoogle Desktop Search用ソフトウェアの正規実行ファイルが含まれます。

攻撃者はさらに、正規のセキュリティソフトウェアに見せかけた偽のスケジュールタスクを使って実行を偽装しています。

このマルウェア自体は.NETフレームワークで書かれており、オープンソースの難読化ツールであるConfuserExによって保護されています。この保護により、リバースエンジニアリングが格段に難しくなり、内部ロジックが解析者から見えにくくなっています。

実行されると、Umbrijはまず被害者の環境を準備します。

リモートデバッグポートが利用可能かどうかを確認し、Windowsのexplorer.exeプロセスからセキュリティトークンを複製することで、ログイン中のユーザーになりすまします。

これにより、マルウェアは被害者の権限で動作し、そのブラウザプロファイルにアクセスできるようになります。次に、Umbrijは認証済みのGoogleアカウントを探すため、ChromeおよびMicrosoft Edgeプロファイルディレクトリを検索します。

実行中のブラウザプロセスによってロックされているファイルであっても、専用のルーチンを使って強制的にコピーします。

続いてマルウェアは、コピーしたプロファイルを使い、–headless–remote-debugging-portを含む複数のコマンドライン引数を指定して、隠しChromiumブラウザを起動します。

ブラウザが起動した後、UmbrijはPuppeteer Sharp自動化フレームワークを使用してChromium DevToolsプロトコル経由で接続します。

そして、Microsoft Outlook用Google Workspace MigrationやMicrosoft Outlook用Google Workspace Syncといった正規のGoogle Workspaceアプリケーションになりすました、巧妙に細工されたGoogle OAuth認可リクエストを自動的に開きます。

このマルウェアは正規のGoogleアプリケーション識別子を使用しているものの、いくつかの認可パラメータを改ざんしています。

PKCE検証などの重要なOAuthセキュリティ値を削除し、リダイレクト先を変更したうえで、Gmail、Google Drive、カレンダー、連絡先、タスク、ユーザープロファイル情報、および管理サービスを網羅する広範な権限を要求します。

翻訳元: https://cyberpress.org/toddycat-automates-gmail-compromise/

ソース: cyberpress.org