ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API

บริษัท Kaspersky เผยกลุ่ม APT ToddyCat พัฒนามัลแวร์ใหม่ชื่อ Umbrij ที่ฉวยโปรโตคอล OAuth 2.0 เจาะ Gmail ขององค์กรผ่าน Google API ด้วยเทคนิค Shadow Token via Remote Debug (STRD) โดยเปิดเบราว์เซอร์ Chromium ในโหมด headless แล้วเชื่อมผ่าน remote debugging port เพื่อฉวยเซสชัน Gmail ที่ล็อกอินอยู่ ดึง OAuth token ไปเข้าถึงอีเมลองค์กร มัลแวร์ถูกปล่อยผ่าน DLL side-loading จากไบนารีที่ถูกต้อง 3 ตัว