ToddyCat-Linked Umbrij Malware Abuses OAuth to Access Gmail via Google API
Die neue Umbrij-Malware, die der Hackergruppe ToddyCat zugeschrieben wird, missbraucht OAuth, um über die Google API unautorisierten Zugriff auf Gmail-Konten zu erlangen. Ziel sind Unternehmens-E-Mails, um vertrauliche Korrespondenz auszuspionieren. Unternehmen sollten ihre Google API-Zugriffe und OAuth-Berechtigungen überprüfen und verdächtige Aktivitäten sofort melden.
Die neue Umbrij-Malware, die der Hackergruppe ToddyCat zugeschrieben wird, missbraucht OAuth, um über die Google API unautorisierten Zugriff auf Gmail-Konten zu erlangen. Ziel sind Unternehmens-E-Mails, um vertrauliche Korrespondenz auszuspionieren. Unternehmen sollten ihre Google API-Zugriffe und OAuth-Berechtigungen überprüfen.
Organisationen, die Gmail für Unternehmens-E-Mails nutzen.
Die Malware ermöglicht unautorisierten Zugriff auf vertrauliche Unternehmenskommunikation in Gmail-Konten, was zu Datendiebstahl und Spionage führen kann.
Langfristige, unbemerkte Spionage von Unternehmens-E-Mails und der Diebstahl sensibler Informationen, die über Gmail ausgetauscht werden.
Überprüfung der Google API-Zugriffe und OAuth-Berechtigungen für Gmail-Konten und sofortige Meldung verdächtiger Aktivitäten.
- ▸Überprüfen Sie alle OAuth-Berechtigungen, die Anwendungen für den Zugriff auf Gmail-Konten in Ihrer Organisation erteilt wurden, insbesondere solche, die kürzlich hinzugefügt wurden oder ungewöhnlich erscheinen.
- ▸Überwachen Sie die Google API-Zugriffsprotokolle auf ungewöhnliche oder unautorisierte Zugriffe auf Gmail-Konten.
- ▸Stellen Sie sicher, dass Multi-Faktor-Authentifizierung (MFA) für alle Gmail-Konten aktiviert ist und dass Richtlinien für die Überprüfung von Anwendungsberechtigungen vorhanden sind.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1136 Valid Accounts | Low | missbraucht OAuth, um über die Google API unautorisierten Zugriff auf Gmail-Konten zu erlangen |
| Collection | T1114 Email Collection | High | Ziel sind Unternehmens-E-Mails, um vertrauliche Korrespondenz auszuspionieren. |
| Persistence | T1136 Valid Accounts | Low | missbraucht OAuth, um über die Google API unautorisierten Zugriff auf Gmail-Konten zu erlangen |
- Der genaue Mechanismus, wie die Umbrij-Malware die OAuth-Tokens initial kompromittiert, ist im Artikel nicht spezifiziert.
- Es wird nicht spezifiziert, welche spezifischen Google API-Berechtigungen missbraucht werden.
- Es wird nicht spezifiziert, wie die Malware auf die Systeme der Opfer gelangt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Resource Development detektieren?