«Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail

«Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail

Эксперты «Лаборатории Касперского» обнаружили новый вектор атаки и инструментарий для компрометации корпоративной почты в Gmail. С их помощью злоумышленники могут получать доступ к аккаунтам пользователей через API и читать переписки, а также собирать данные из календаря и других сервисов Google, оставаясь незамеченными на протяжении длительного времени. К таким выводам исследователи пришли в ходе изучения активности группы ToddyCat. 

Новый способ компрометации почты Gmail. Сторонние приложения могут запрашивать доступ к сервисам Google через API. Например, если пользователю нужно синхронизировать данные календаря на мобильном телефоне с электронной почтой. Для подтверждения требуется OAuth-токен. Чтобы получить такой токен и, соответственно, доступ к нужным ресурсам, злоумышленники разработали инструмент Umbrij. Он нацелен на Windows, однако потенциально может использоваться в атаках на пользователей других операционных систем. Инструмент может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения. Исследователи «Лаборатории Касперского» назвали эту технику Shadow Token via Remote Debug (STRD).

Данная атака возможна в браузерах на основе движка Chromium. Если пользователь не вышел из своего аккаунта в Gmail, браузер сохраняет его сессию авторизации — чем и пользуются атакующие. Они запускают экземпляр браузера, подключаются через отладочный порт и отправляют запросы к Gmail на получение доступа к ресурсам учётной записи Google — в рамках сохранённой пользовательской сессии. Таким образом, злоумышленникам не требуется вводить данные для входа.

«Электронная почта по-прежнему остаётся основным средством служебной переписки в компаниях, и атакующие прибегают к разным методам, чтобы её прочитать. Обнаружение Umbrij — ещё одно тому подтверждение. Инструмент позволяет злоумышленникам автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растёт масштаб и частота атак. Находка также говорит о высокой мотивации и эволюции технических навыков группы ToddyCat, — комментирует Андрей Гунькин, эксперт по кибербезопасности в „Лаборатории Касперского“. — Для защиты от подобных угроз организациям необходимо внимательно отслеживать необычную активность. Например, запуск браузера с включённым портом отладки — нетипичное поведение для большинства пользователей, не связанных со сферой разработки веб-приложений. Также важно регулярно проводить аудит сторонних приложений и сервисов, имеющих доступ к учётным записям Google. Чтобы снизить риски, можно также рассмотреть возможность отключить инструменты разработчика в браузерах на основе Chromium для сотрудников, которым они не требуются для повседневной работы».

Узнать более подробную информацию о новом инструменте ToddyCat можно в статье на Securelist.

Решения «Лаборатории Касперского», такие как Kaspersky EDR Expert, детектируют описанную вредоносную активность.

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» также рекомендует компаниям:

  • использовать комплексную защиту компаний от широкого спектра киберугроз, напримерKaspersky Symphony. Эта линейка продуктов обеспечивает защиту в режиме реального времени, всеобъемлющую видимость угроз, их исследование и реагирование класса EPP, EDR и XDR. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
  • предоставлять ИБ-специалистам доступ к информации о новейших тактиках, техниках и процедурах злоумышленников.Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленным экспертами «Лаборатории Касперского» более чем за 25 лет;
  • внедрять решения для управляемой защиты, такие какKaspersky Compromise AssessmentKaspersky Managed Detection and Responseи/или Kaspersky Incident Response, охватывающие весь цикл реагирования на инциденты — от обнаружения угроз до их устранения.

 

Оцените новость

  • Ваша оценка
Итоги:
Проголосовало людей: 0

Оставить комментарий

Ваш e-mail не будет опубликован. Поля обязательны для заполненеия - *

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Кликните на изображение чтобы обновить код, если он неразборчив

Актуальные новости

Логотип

О портале

Новостной портал Казахстана, только свежие новости со всего мира!

© 2024 INFOZAKON. Все права защищены.

×