สรุปสั้น

บริษัท Kaspersky เปิดเผยว่า กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ที่รู้จักในชื่อ ToddyCat ได้พัฒนามัลแวร์ตัวใหม่ชื่อ Umbrij ซึ่งออกแบบมาเพื่อลอบเข้าถึงการติดต่อทางอีเมลของเหยื่อผ่าน Google API โดยแคมเปญนี้มุ่งเป้าไปที่การสื่อสารทางอีเมลระดับองค์กรที่โฮสต์อยู่บน Gmail เนื่องจาก Google API พึ่งพาโปรโตคอล OAuth 2.0 ในการอนุญาตสิทธิ์ แอปพลิเคชันจึงสามารถใช้โทเคน OAuth เข้าถึงทรัพยากรอีเมลที่ร้องขอได้ ToddyCat พัฒนา Umbrij ขึ้นเพื่อคว้าโทเคนนี้แล้วนำไปเชื่อมต่อกับคอนโซลจัดการของเบราว์เซอร์ในโหมด headless ผ่าน remote debugging port

เทคนิคนี้ถูกตั้งชื่อรหัสว่า Shadow Token via Remote Debug (STRD) โดย Kaspersky สิ่งที่น่าจับตาคือมันใช้ได้กับเบราว์เซอร์ตระกูล Chromium และฉวยประโยชน์จากเซสชัน Gmail ที่กำลังใช้งานอยู่ กล่าวคือมัลแวร์จะเปิดเบราว์เซอร์ในโหมด headless เชื่อมผ่าน remote debugging port เพื่อยึดการควบคุม แล้วอาศัยเซสชัน Gmail ที่ล็อกอินไว้แล้วเข้าถึงทรัพยากรของบัญชี Google นักวิจัยพบ Umbrij ถึงสามเวอร์ชัน รวมถึงเวอร์ชันที่มีฟังก์ชันช่วยสำหรับ debug และค้นหาเลือกบัญชีผู้ใช้ในเบราว์เซอร์ ToddyCat เป็นกลุ่มที่มีประวัติโจมตีองค์กรในยุโรปและเอเชียมาตั้งแต่อย่างน้อยปี 2020

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Kaspersky ได้เผยแพร่รายงานฉบับละเอียดระบุว่ากลุ่ม ToddyCat อยู่เบื้องหลังมัลแวร์ Umbrij ที่มุ่งเจาะการสื่อสารอีเมลองค์กรบน Gmail ผ่านการฉวยประโยชน์จาก API

Kaspersky ระบุว่าค้นพบ Umbrij ระหว่างปฏิบัติการ “threat hunting” โดยพบ scheduled task ที่ปลอมตัวเป็นซอฟต์แวร์ของ Kaspersky เอง (ใช้ชื่อ “KasperskyEndpointSecurityEDRAvp”) ถูกใช้เรียกไฟล์ที่มีลายเซ็นดิจิทัล จากนั้นไฟล์ดังกล่าวใช้เทคนิค DLL side-loading เพื่อปล่อย Umbrij ออกมา โดยอาศัยไบนารีที่ถูกต้องตามกฎหมายซึ่งเสี่ยงต่อ DLL side-loading จำนวนสามตัว ได้แก่ BDSubWiz.exe ซึ่งเป็นองค์ประกอบของ Submission Wizard ใน Bitdefender ConnectAgent, VSTestVideoRecorder.exe ซึ่งเป็นเครื่องมือบันทึกวิดีโอสำหรับการทดสอบใน Microsoft Visual Studio และ GoogleDesktop.exe ซึ่งเป็นแอปพลิเคชัน Google Desktop Search ที่เลิกให้บริการไปแล้ว

ไม่ว่าจะใช้ไฟล์ตัวใด ผลลัพธ์สุดท้ายเหมือนกันคือการปล่อย Umbrij DLL ที่เขียนด้วย .NET และถูกทำให้อ่านยากด้วย ConfuserEx ซึ่งเป็น obfuscator แบบโอเพนซอร์ส เครื่องมือนี้ยังสามารถเรียกใช้พร้อมพารามิเตอร์บรรทัดคำสั่งที่ระบุว่าจะโจมตีเบราว์เซอร์ตัวใด (Google Chrome หรือ Microsoft Edge), สั่งบันทึกภาพหน้าจอโปรไฟล์ผู้ใช้เป็นไฟล์ PDF และระบุชื่อผู้ใช้ระบบที่เครื่องมือจะทำงานภายใต้สิทธิ์นั้น นาย Andrey Gunkin นักวิเคราะห์มัลแวร์อาวุโสของ Kaspersky ระบุว่ากลุ่ม ToddyCat ยังคงค้นหาวิธีเจาะการสื่อสารอีเมลองค์กรอย่างต่อเนื่อง และ Umbrij ช่วยทำให้ความพยายามเข้าถึงบัญชีอีเมลเป็นแบบอัตโนมัติ เพิ่มทั้งขนาดและความถี่ของการโจมตี

วิธีการโจมตี

เมื่อ Umbrij ถูกปล่อยออกมา มันจะดำเนินการเตรียมการหลายขั้นตอนบนเครื่อง Windows ที่ถูกยึด เริ่มจากตรวจสอบความพร้อมของพอร์ตที่จะใช้สำหรับ debug เบราว์เซอร์ จากนั้นดึงบริบทของผู้ใช้ด้วยการค้นหาโปรเซส “explorer.exe” แล้วทำสำเนาโทเคนของโปรเซสแรกที่เจอ เพื่อคงสิทธิ์ทั้งหมดของผู้ใช้ที่ล็อกอินอยู่ (หรือใช้สวิตช์ -user เพื่อระบุผู้ใช้เป้าหมายก็ได้) ต่อมามันจะสร้างเส้นทางไปยังโฟลเดอร์แอปพลิเคชันของเบราว์เซอร์ใน local application data แล้วอ่านไฟล์ Local State ของ Chrome หรือ Edge เพื่อรวบรวมข้อมูลโปรไฟล์ผู้ใช้ที่จัดเก็บไว้

Umbrij จะไล่ดูโปรไฟล์ทั้งหมดและสแกนหาฟิลด์ชื่อ “user_name” ที่มีที่อยู่อีเมลอยู่ ซึ่งบ่งชี้ว่าผู้ใช้ล็อกอินเข้าบริการของ Google แล้ว จากนั้นสร้างไดเรกทอรีชื่อ “BackupFiles” ภายในโฟลเดอร์ของ Chrome และ Edge แล้วคัดลอกไฟล์และโฟลเดอร์สำคัญของแต่ละโปรไฟล์เข้าไป เช่น IndexedDB, Local Storage, Network, Login Data, Preferences, Secure Preferences และ Web Data โดยมีกลไก force-copy สำหรับไฟล์ที่ถูกล็อกโดยโปรเซสอื่น

ขั้นต่อมามันจะเปิดเบราว์เซอร์ในโหมด headless โดยใช้โปรไฟล์ผู้ใช้ที่คัดลอกไว้ใน “BackupFiles” ทำให้เบราว์เซอร์นำคุกกี้ของผู้ใช้ที่ยังใช้งานได้ รวมถึงบัญชี Google ที่ล็อกอินไว้ มาใช้และข้ามการยืนยันตัวตน จากนั้นใช้ Puppeteer ซึ่งเป็นไลบรารี JavaScript สำหรับควบคุมเบราว์เซอร์ Chromium ผ่าน Chrome DevTools Protocol เชื่อมต่อกับ remote debugging port แล้วส่งคำขอ authorization code นำทางเบราว์เซอร์ไปยัง URL “accounts.google[.]com/o/oauth2/v2/auth/identifier” ที่มี “client_id” ตรงกับเครื่องมือย้ายข้อมูลสำหรับนำเข้าไฟล์ PST และข้อมูลจากบัญชี Microsoft Exchange เข้าสู่ Google Workspace มัลแวร์ใช้ JavaScript จำลองการคลิกเมาส์เพื่อเลือกบัญชี Google และมอบสิทธิ์ที่จำเป็น รวมถึงสิทธิ์เข้าถึง Gmail, Drive, Contacts, Calendar และ Tasks แบบเต็ม แล้วดึง OAuth authorization code ออกมาเพื่อนำไปแลกเป็น access token เข้าถึง Gmail ผ่าน API

ผลกระทบต่อไทย

หน่วยงานรัฐ องค์กรขนาดใหญ่ และบริษัทในไทยจำนวนมากใช้ Google Workspace และ Gmail เป็นระบบอีเมลหลักขององค์กร การโจมตีของ Umbrij อันตรายเป็นพิเศษเพราะไม่ได้อาศัยการขโมยรหัสผ่านหรือหลอกเอา MFA แต่ฉวยประโยชน์จากเซสชันที่ผู้ใช้ล็อกอินไว้แล้วบนเครื่องที่ถูกยึด ทำให้ข้ามการยืนยันตัวตนหลายชั้นได้ทั้งหมด อีกทั้ง ToddyCat มีประวัติโจมตีองค์กรในเอเชียมายาวนาน ภูมิภาคเอเชียตะวันออกเฉียงใต้รวมถึงไทยจึงอยู่ในขอบเขตความสนใจของกลุ่มนี้

เนื่องจากมัลแวร์ขอสิทธิ์เข้าถึง Gmail, Drive, Contacts, Calendar และ Tasks แบบเต็ม ผู้โจมตีจึงสามารถอ่านอีเมลลับ ดึงเอกสารจาก Drive และสอดส่องปฏิทินนัดหมายขององค์กรเป้าหมายได้ ซึ่งเป็นภัยต่อทั้งความลับทางธุรกิจและความมั่นคงของหน่วยงานรัฐ

คำแนะนำ

เพื่อรับมือภัยคุกคามนี้ องค์กรควรตรวจสอบ authorization code ที่มอบให้แอปพลิเคชันต่าง ๆ โดยเข้าไปที่ “myaccount.google[.]com/connections” แล้วมองหาแอปพลิเคชันชื่อ “Google Workspace Migration for Microsoft Outlook” หรือ “Google Workspace Sync for Microsoft Outlook” หากพบแอปเหล่านี้ทั้งที่องค์กรไม่ได้ใช้งานจริง ให้เพิกถอน (revoke) สิทธิ์เข้าถึงทันทีเพื่อทำให้โทเคน OAuth ใช้ไม่ได้

นอกจากนี้ควรเฝ้าระวังการเปิดเบราว์เซอร์ในโหมด headless ที่ผิดปกติ, การใช้ remote debugging port, และการสร้างโฟลเดอร์ “BackupFiles” ในไดเรกทอรีของ Chrome หรือ Edge ควรตรวจสอบ scheduled task ที่ปลอมชื่อเป็นซอฟต์แวร์ความปลอดภัย และเฝ้าระวัง DLL side-loading จากไบนารีที่ถูกต้องอย่าง BDSubWiz.exe, VSTestVideoRecorder.exe และ GoogleDesktop.exe ควรทบทวนสิทธิ์ OAuth ที่ผูกกับบัญชีองค์กรเป็นระยะ และบังคับใช้นโยบายอนุญาตเฉพาะแอปที่ผ่านการตรวจสอบ (app allowlisting) ใน Google Workspace

Indicators of Compromise (IoCs)

หมายเหตุ: ตัวบ่งชี้ด้านล่างถูก defang (เช่น [.]) เพื่อป้องกันการเปิดลิงก์โดยไม่ตั้งใจ

Indicatorประเภทคำอธิบาย
KasperskyEndpointSecurityEDRAvpScheduled Tasktask ปลอมตัวเป็นซอฟต์แวร์ Kaspersky เรียกไฟล์มีลายเซ็น
BDSubWiz.exeLegit binary (abused)ไบนารี Bitdefender ConnectAgent ถูกใช้ DLL side-loading
VSTestVideoRecorder.exeLegit binary (abused)เครื่องมือ Visual Studio ถูกใช้ DLL side-loading
GoogleDesktop.exeLegit binary (abused)Google Desktop Search (เลิกให้บริการ) ถูกใช้ side-loading
BackupFilesArtifactโฟลเดอร์ที่มัลแวร์สร้างใน Chrome/Edge เก็บสำเนาโปรไฟล์
accounts.google[.]com/o/oauth2/v2/auth/identifierURLปลายทาง OAuth ที่มัลแวร์ใช้ขอ authorization code

แหล่งอ้างอิง