Nell’ambito delle proprie attività proattive di ricerca sulle minacce, gli esperti di Kaspersky hanno individuato uno strumento finora sconosciuto utilizzato dal gruppo APT ToddyCat. In questa campagna, gli autori dell’attacco hanno preso di mira le comunicazioni aziendali delle vittime ospitate su Gmail, con l’obiettivo di ottenere un accesso non autorizzato agli account di posta elettronica tramite l’API del servizio. Il malware è stato progettato per colpire gli utenti Windows, ma la tecnica potrebbe potenzialmente essere utilizzata anche su altri sistemi.
Gli autori dell’attacco hanno sviluppato un nuovo strumento, Umbrij, in grado di stabilire connessioni nascoste tramite una porta di debug, mascherando al contempo la propria attività come un processo legittimo. Questo approccio consente all’attore della minaccia di operare con un minor rischio di essere individuato e di mantenere l’accesso agli ambienti compromessi. La tecnica appena identificata, denominata Shadow Token via Remote Debug (STRD), interessa i browser basati su Chromium.
Dal punto di vista dell’utente, l’attacco sfrutta una sessione Gmail autenticata già esistente e ancora attiva nel browser. Se l’utente non ha effettuato il logout dal proprio account Gmail, il browser mantiene la relativa sessione di autenticazione. Sfruttando questa condizione, gli autori dell’attacco avviano un’istanza del browser, ne assumono il controllo tramite una porta di debug e inviano richieste a Gmail per ottenere l’accesso alle risorse dell’account Google nel contesto della sessione utente ancora attiva. In questo modo, possono abusare di una sessione già autenticata senza richiedere all’utente di reinserire le proprie credenziali.
Lo strumento è inoltre in grado di richiedere autorizzazioni estese, tra cui l’accesso completo alla posta elettronica, allo spazio di archiviazione cloud e ai contatti della vittima. Per completare la procedura di autorizzazione, Umbrij interagisce automaticamente con la finestra di richiesta del consenso e approva l’accesso cliccando sul pulsante "Consenti", ottenendo così il codice di autenticazione necessario per accedere alle risorse prese di mira.

“Monitoriamo l’attività di ToddyCat da diversi anni e continuiamo a osservare come il gruppo perfezioni costantemente sia i propri strumenti sia le proprie tecniche di attacco. In questa ultima ricerca abbiamo identificato un nuovo strumento, Umbrij, che dimostra ulteriormente gli sforzi dell’attore per potenziare le proprie capacità operative. Nel valutare i rischi associati a questo strumento, le aziende dovrebbero tenere presente che l’avvio di un browser con una porta di debug abilitata non rappresenta un’attività normale per la maggior parte degli utenti al di fuori dell’ambito dello sviluppo di applicazioni web. Come misura precauzionale, le organizzazioni potrebbero prendere in considerazione la disattivazione degli strumenti di sviluppo nei browser basati su Chromium per gli utenti che non ne hanno bisogno nello svolgimento delle proprie attività quotidiane. Questo può contribuire a mitigare il rischio rappresentato da questa tecnica e a invalidare l’accesso associato a token potenzialmente compromessi”, ha affermato Andrey Gunkin, Senior Malware Analyst di Kaspersky.
In precedenza, i ricercatori di Kaspersky avevano già descritto nel dettaglio le campagne condotte dal gruppo, finalizzate alla sottrazione di dati dai browser web e dai servizi di posta elettronica, sia on-premise sia basati su cloud.
Per ulteriori dettagli sul nuovo strumento APT, è possibile consultare Securelist.com.
Per garantire la sicurezza, gli esperti di Kaspersky raccomandano inoltre alle aziende d:
· Utilizzare le soluzioni complete della linea di prodotti Kaspersky Next, che offrono protezione in tempo reale, visibilità sulle minacce e funzionalità di analisi e risposta tipiche delle soluzioni EPP, EDR e XDR. A seconda delle esigenze e delle risorse disponibili, è possibile scegliere la soluzione più adatta all’interno della gamma e passare facilmente a un’altra qualora i requisiti di sicurezza informatica dovessero cambiare.
· Fornire ai professionisti della sicurezza informatica una visibilità approfondita sulle minacce che prendono di mira l’organizzazione. L’ultima versione di Kaspersky Threat Intelligence offre un contesto ricco e significativo lungo l’intero ciclo di gestione degli incidenti, aiutando a identificare tempestivamente i rischi informatici.
· Qualora l’azienda non disponga di competenze specifiche in materia di sicurezza informatica, adottare i servizi di sicurezza gestiti di Kaspersky, come Compromise Assessment, Managed Detection and Response e/o Incident Response, che coprono l’intero ciclo di gestione degli incidenti, dall’identificazione delle minacce alla protezione continua fino alla risoluzione dei problemi.