How the ToddyCat APT group gains access to Gmail accounts

Kaspersky researchers detail Umbrij, a new .NET malware tool used by the ToddyCat APT group to steal OAuth tokens from corporate Gmail accounts. The tool uses DLL sideloading via legitimate binaries (Bitdefender, Visual Studio, Google Desktop) to execute, then launches Chromium-based browsers in headless mode with remote debugging enabled. It connects via the DevTools protocol using Puppeteer Sharp, navigates to a Google OAuth authorization page using the client ID of legitimate Google Workspace tools (GWMMO/GWSMO), and automates clicks to grant permissions — capturing the resulting OAuth authorization code. The technique, dubbed Shadow Token via Remote Debug (STRD), exploits existing authenticated browser sessions to silently obtain API access tokens without triggering EPP/EDR alerts. Detection guidance includes monitoring for DLL loads from vulnerable apps, browser launches with remote debugging flags, and auditing third-party Google account permissions. Mitigation includes disabling browser developer tools via Group Policy and revoking unauthorized OAuth grants.

Nguồn: https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

The New Stack1 Hot6 phút4 giờ trướcAI

IdentityServer4 is dead. Here’s what comes next.

RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.

Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.

#authentication