Giriş
ToddyCat adlı siber tehdit aktörü, Google API’si üzerinden kurbanların e-posta iletişimine gizlice erişim sağlayan “Umbrij” adlı yeni bir kötü amaçlı yazılım geliştirdi. Bu saldırı, kuruluşların e-posta iletişim güvenliği açısından büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
ToddyCat tarafından geliştirilen Umbrij, OAuth 2.0 protokolünü kullanarak e-posta kaynaklarına erişmek üzere tasarlanmıştır. Saldırganlar, tarayıcının yönetim konsoluna uzaktan hata ayıklama portu aracılığıyla bağlanarak bir erişim kodunu alır ve bunu bir erişim token’ına (access token) dönüştürerek hedef kaynaklara ulaşır. Bu teknik, Rus siber güvenlik firması tarafından Shadow Token via Remote Debug (STRD) olarak adlandırılmıştır.
Umbrij, farklı versiyonlarıyla dikkat çekiyor; bu versiyonlardan bazıları hata ayıklama ve kullanıcı hesaplarını arama gibi yardımcı işlevler içeriyor. Üç farklı versiyonu bulunmaktadır ve bu versiyonlar saldırganların tarayıcılar üzerinde daha fazla kontrol sahibi olmasına olanak tanır.
Etkilenen Sistemler
Saldırı, Chromium tabanlı tarayıcılar üzerinde etkili olabiliyor ve aktif bir Gmail oturumunu kullanarak kimlik avı yapmaktadır. Umbrij, belirli adımları takip ederek bir Windows host üzerinde Gmail hesabını hedef alıyor:
- Tarayıcı hata ayıklama için uygun portun kullanılabilirliğini kontrol eder.
- Kullanıcı bağlamını almak için “explorer.exe” sürecini arar ve bulduğu ilk sürecin token’ını kopyalar.
- Tarayıcı uygulama klasörünün yolunu oluşturur ve Chrome veya Edge’in Local State dosyasını inceleyerek kullanıcı profilleri hakkında bilgi toplar.
- “user_name” alanını içeren tüm profilleri sayar ve bu alanda bir e-posta adresi varsa kullanıcının Google hizmetlerine kimlik doğrulaması yapıldığını anlar.
- Gerekli dosyaları “BackupFiles” adlı bir dizine kopyalar.
- Uzak hata ayıklama portuna bağlanarak tarayıcıyı başlatır.
- OAuth yetkilendirme kodunu alarak Gmail hesabına erişim sağlar.
Çözüm ve Korunma
Umbrij tarafından yapılan saldırılara karşı korunmak için şu adımlar atılmalıdır:
- OAuth yetkilendirme kodlarını kontrol edin. Bunun için “myaccount.google.com/connections” adresine gidin.
- “Google Workspace Migration for Microsoft Outlook” veya “Google Workspace Sync for Microsoft Outlook” adlı uygulamaları arayın.
- Eğer bu uygulamalara erişim verilmişse ve kullanımda değilse, bu erişimi iptal edin.
Saldırıların önüne geçmek adına, kullanıcılar her zaman güncel bir yazılıma ve güvenlik önlemlerine sahip olmalıdır. Ayrıca, kurumsal e-postalara dair şifreleri periyodik olarak değiştirmek de faydalıdır.
Sonuç olarak, etkili bir savunma mekanizması oluşturmak için sistemlerinizi güncel tutun, gereksiz uygulamaların erişimlerini iptal edin ve çalışanlarınıza siber güvenlik eğitimi verin.


