برترین نماینده کسپرسکی در غرب آسیا

حمله ToddyCat به Gmail سازمانی با ابزار Umbrij — گزارش کسپرسکی ۲۰۲۶

Telegram
WhatsApp
LinkedIn

حمله ToddyCat به Gmail سازمانی با ابزار Umbrij — گزارش کسپرسکی ۲۰۲۶

ToddyCat چیست؟

ToddyCat یک گروه تهدید پیشرفته و مستمر (APT) است که توسط محققان کسپرسکی رصد می‌شود. این گروه از سال‌ها پیش سازمان‌های دولتی و دیپلماتیک را هدف قرار داده و به‌طور مداوم ابزارهای خود را برای دور زدن راهکارهای امنیتی به‌روز می‌کند.

در تازه‌ترین گزارش کسپرسکی که ۳۰ ژوئن ۲۰۲۶ منتشر شد، تیم تحقیقاتی این شرکت ابزار جدیدی با نام Umbrij را کشف کرد که برای نفوذ به حساب‌های Gmail سازمانی طراحی شده است.

ابزار Umbrij چیست و چگونه کار می‌کند؟

Umbrij یک DLL مبتنی بر .NET است که با ConfuserEx مبهم‌سازی شده تا از شناسایی فرار کند. این ابزار از تکنیکی که کسپرسکی آن را «Shadow Token via Remote Debug (STRD)» نامیده استفاده می‌کند.

مراحل حمله به Gmail سازمانی

  1. DLL Sideloading: ابزار از طریق برنامه‌های قانونی و آسیب‌پذیر مانند Bitdefender ConnectAgent، Visual Studio Testing و Google Desktop Search بارگذاری می‌شود.
  2. سرقت نشست مرورگر: Umbrij فایل‌های حیاتی مرورگر قربانی (IndexedDB، Local Storage، Login Data) را کپی می‌کند تا به نشست‌های احراز هویت‌شده دسترسی بگیرد.
  3. سوءاستفاده از OAuth 2.0: مرورگر در حالت Headless با قابلیت Remote Debugging راه‌اندازی می‌شود. سپس از طریق پروتکل DevTools و کتابخانه Puppeteer Sharp، جریان OAuth به‌صورت خودکار تکمیل می‌شود.
  4. استخراج Token: کد مجوز OAuth استخراج شده و در ازای آن Access Token دریافت می‌شود که دسترسی کامل به Gmail API قربانی را فراهم می‌کند.

سطح دسترسی که مهاجم به‌دست می‌آورد

Umbrij با سوءاستفاده از Client IDهای قانونی گوگل (GWMMO و GWSMO)، مجوزهای گسترده‌ای درخواست می‌دهد:

  • دسترسی کامل به ایمیل‌ها و خواندن تمام مکاتبات
  • دسترسی به تقویم و مخاطبین سازمانی
  • دسترسی به Google Drive
  • دسترسی به دایرکتوری اداری سازمان

کسپرسکی سه نسخه متفاوت از Umbrij (a، b و c) شناسایی کرده که نشان‌دهنده توسعه فعال و مستمر این ابزار است.

چرا این حمله خطرناک است؟

مهم‌ترین ویژگی این حمله آن است که بدون نیاز به رمز عبور کار می‌کند. مهاجم از نشست احراز هویت موجود روی دستگاه قربانی استفاده می‌کند؛ بنابراین احراز هویت دو مرحله‌ای (2FA) نیز به‌تنهایی نمی‌تواند مانع این حمله شود.

علاوه بر این، ابزار قابلیت لاگ‌گیری جامع دارد و می‌تواند عکس PDF از فرآیند حمله بگیرد. این یعنی مهاجمان حتی در صورت شکست اولیه، می‌توانند حمله را بهینه کنند.

شناسه‌های کسپرسکی برای شناسایی Umbrij

  • HEUR:Trojan-PSW.MSIL.Umbrij.gen

چه سازمان‌هایی در معرض خطر هستند؟

بر اساس گزارش کسپرسکی، ToddyCat سازمان‌هایی را هدف می‌گیرد که:

  • از Gmail سازمانی (Google Workspace) استفاده می‌کنند
  • مکاتبات حساس دولتی، دیپلماتیک یا تجاری دارند
  • امنیت endpoint آن‌ها در برابر DLL Sideloading محافظت کافی ندارد

راهکارهای کسپرسکی برای مقابله

برای محافظت در برابر تهدیدات APT مانند ToddyCat، کسپرسکی راهکارهای زیر را پیشنهاد می‌دهد:

منبع: گزارش رسمی کسپرسکی — Securelist، ۳۰ ژوئن ۲۰۲۶

تماس با فدک رایان — نماینده پلاتینیوم کسپرسکی در ایران

برای دریافت مشاوره رایگان درباره محافظت از سازمان شما در برابر تهدیدات APT مانند ToddyCat با کارشناسان فدک رایان تماس بگیرید:

نرم افزار پیشرفته حضور و غیاب

محصولی از فدک رایان

محتوای جدول