ToddyCat چیست؟
ToddyCat یک گروه تهدید پیشرفته و مستمر (APT) است که توسط محققان کسپرسکی رصد میشود. این گروه از سالها پیش سازمانهای دولتی و دیپلماتیک را هدف قرار داده و بهطور مداوم ابزارهای خود را برای دور زدن راهکارهای امنیتی بهروز میکند.
در تازهترین گزارش کسپرسکی که ۳۰ ژوئن ۲۰۲۶ منتشر شد، تیم تحقیقاتی این شرکت ابزار جدیدی با نام Umbrij را کشف کرد که برای نفوذ به حسابهای Gmail سازمانی طراحی شده است.
ابزار Umbrij چیست و چگونه کار میکند؟
Umbrij یک DLL مبتنی بر .NET است که با ConfuserEx مبهمسازی شده تا از شناسایی فرار کند. این ابزار از تکنیکی که کسپرسکی آن را «Shadow Token via Remote Debug (STRD)» نامیده استفاده میکند.
مراحل حمله به Gmail سازمانی
- DLL Sideloading: ابزار از طریق برنامههای قانونی و آسیبپذیر مانند Bitdefender ConnectAgent، Visual Studio Testing و Google Desktop Search بارگذاری میشود.
- سرقت نشست مرورگر: Umbrij فایلهای حیاتی مرورگر قربانی (IndexedDB، Local Storage، Login Data) را کپی میکند تا به نشستهای احراز هویتشده دسترسی بگیرد.
- سوءاستفاده از OAuth 2.0: مرورگر در حالت Headless با قابلیت Remote Debugging راهاندازی میشود. سپس از طریق پروتکل DevTools و کتابخانه Puppeteer Sharp، جریان OAuth بهصورت خودکار تکمیل میشود.
- استخراج Token: کد مجوز OAuth استخراج شده و در ازای آن Access Token دریافت میشود که دسترسی کامل به Gmail API قربانی را فراهم میکند.
سطح دسترسی که مهاجم بهدست میآورد
Umbrij با سوءاستفاده از Client IDهای قانونی گوگل (GWMMO و GWSMO)، مجوزهای گستردهای درخواست میدهد:
- دسترسی کامل به ایمیلها و خواندن تمام مکاتبات
- دسترسی به تقویم و مخاطبین سازمانی
- دسترسی به Google Drive
- دسترسی به دایرکتوری اداری سازمان
کسپرسکی سه نسخه متفاوت از Umbrij (a، b و c) شناسایی کرده که نشاندهنده توسعه فعال و مستمر این ابزار است.
چرا این حمله خطرناک است؟
مهمترین ویژگی این حمله آن است که بدون نیاز به رمز عبور کار میکند. مهاجم از نشست احراز هویت موجود روی دستگاه قربانی استفاده میکند؛ بنابراین احراز هویت دو مرحلهای (2FA) نیز بهتنهایی نمیتواند مانع این حمله شود.
علاوه بر این، ابزار قابلیت لاگگیری جامع دارد و میتواند عکس PDF از فرآیند حمله بگیرد. این یعنی مهاجمان حتی در صورت شکست اولیه، میتوانند حمله را بهینه کنند.
شناسههای کسپرسکی برای شناسایی Umbrij
HEUR:Trojan-PSW.MSIL.Umbrij.gen
چه سازمانهایی در معرض خطر هستند؟
بر اساس گزارش کسپرسکی، ToddyCat سازمانهایی را هدف میگیرد که:
- از Gmail سازمانی (Google Workspace) استفاده میکنند
- مکاتبات حساس دولتی، دیپلماتیک یا تجاری دارند
- امنیت endpoint آنها در برابر DLL Sideloading محافظت کافی ندارد
راهکارهای کسپرسکی برای مقابله
برای محافظت در برابر تهدیدات APT مانند ToddyCat، کسپرسکی راهکارهای زیر را پیشنهاد میدهد:
- Kaspersky EDR Optimum: شناسایی و پاسخ به تهدیدات پیشرفته در endpoint، از جمله DLL Sideloading
- Kaspersky Anti Targeted Attack (KATA): شناسایی حملات هدفمند APT در سطح شبکه سازمان
- Kaspersky MDR: نظارت ۲۴/۷ توسط متخصصان کسپرسکی برای شناسایی و پاسخ سریع
- Kaspersky Threat Intelligence: دسترسی به اطلاعات لحظهای درباره IOCهای ToddyCat
منبع: گزارش رسمی کسپرسکی — Securelist، ۳۰ ژوئن ۲۰۲۶
تماس با فدک رایان — نماینده پلاتینیوم کسپرسکی در ایران
برای دریافت مشاوره رایگان درباره محافظت از سازمان شما در برابر تهدیدات APT مانند ToddyCat با کارشناسان فدک رایان تماس بگیرید:
- 📞 تلفن: 021-752655 | 021-73094217
- 📧 ایمیل: info@fadak.co
- 🌐 وبسایت: fadak.co/تماس