تهديد مستمر متطور
مجموعة ToddyCat للتهديدات المتطورة تنشر برمجية Umbrij الخبيثة لاختراق Gmail عبر سرقة رموز OAuth
أداة ToddyCat الجديدة، Umbrij، تعمل على أتمتة سرقة رموز OAuth من جلسات Gmail النشطة عن طريق تشغيل متصفحات Chromium في وضع بدون واجهة وتحكمها عبر منافذ تصحيح الأخطاء عن بُعد. يمكن للبرمجية الخبيثة استخراج رموز التفويض التي تمنح وصولاً كاملاً إلى Gmail وDrive وجهات الاتصال والتقويم والمهام.

نشرت كاسبرسكي تقريراً مفصلاً يحدد سلالة برمجية خبيثة جديدة تسمى Umbrij، والتي تنسبها إلى مجموعة التهديدات المتطورة ToddyCat. صُممت Umbrij لسرقة رموز تفويض OAuth من جلسات Google النشطة عن طريق استغلال قدرات تصحيح الأخطاء عن بُعد في المتصفحات القائمة على Chromium. تتيح هذه التقنية، التي تحمل الاسم الرمزي Shadow Token via Remote Debug (STRD)، للخصم الوصول إلى اتصالات البريد الإلكتروني المؤسسية المستضافة على Gmail دون الحاجة إلى بيانات اعتماد المستخدم.
وفقاً لكاسبرسكي، طور المهاجمون برمجية Umbrij للحصول على رموز OAuth واستخدامها للاتصال بوحدة تحكم إدارة المتصفح في وضع بدون واجهة عبر منفذ تصحيح الأخطاء عن بُعد. تصدر البرمجية الخبيثة بعد ذلك سلسلة من الطلبات للحصول على رمز تفويض OAuth، الذي يتم استبداله برمز وصول يوفر وصولاً على مستوى واجهة برمجة التطبيقات إلى الموارد المستهدفة. ما يجعل هذا الهجوم فعالاً بشكل خاص هو أنه لا يتطلب من الضحية النقر على أي روابط ضارة أو تنزيل مرفقات مشبوهة، بل يستغل ببساطة جلسة Gmail نشطة حالية على مضيف مخترق.
سير عمل الهجوم والتفاصيل الفنية
Umbrij هي مكتبة DLL قائمة على .NET مشوشة باستخدام ConfuserEx ويتم نشرها عبر التحميل الجانبي لمكتبات DLL. حددت كاسبرسكي ثلاثة برامج شرعية تم استغلالها لهذا الغرض: BDSubWiz.exe (مكون من Bitdefender)، VSTestVideoRecorder.exe (جزء من Microsoft Visual Studio)، وGoogleDesktop.exe (تطبيق Google Desktop Search المتوقف). يمكن استدعاء البرمجية الخبيثة باستخدام معلمات سطر أوامر تحدد المتصفحات المستهدفة (Google Chrome أو Microsoft Edge)، وما إذا كان سيتم حفظ لقطة شاشة لملف تعريف المستخدم بصيغة PDF، واسم مستخدم النظام الذي ستشغّل الأداة تحته.
بمجرد تشغيلها، تقوم Umbrij بتنفيذ سلسلة من الإجراءات التحضيرية على مضيف Windows المخترق. تتحقق من توفر المنفذ المخصص لتصحيح أخطاء المتصفح، وتستعيد سياق المستخدم بالبحث عن 'explorer.exe' ونسخ رمزه المميز للاحتفاظ بجميع امتيازات المستخدم المسجل، وبناء المسار إلى مجلد تطبيق المتصفح داخل بيانات التطبيق المحلية للمستخدم. تقوم البرمجية الخبيثة بعد ذلك بتحليل ملف Local State المطابق لـ Chrome أو Edge لجمع معلومات حول ملفات تعريف المستخدم المخزنة في المتصفح.
تعدد Umbrij جميع الملفات الشخصية وتفحصها بحثاً عن حقل باسم 'user_name' يتضمن عنوان بريد إلكتروني، حيث يشير وجود عنوان بريد إلكتروني إلى أن المستخدم قد تمت مصادقته على خدمة Google. تقوم بإنشاء دليل 'BackupFiles' داخل مجلدات بيانات التطبيق المحلية للمتصفح وتنسخ ملفات التعريف الهامة مثل IndexedDB و Local Storage و Network و Login Data و Preferences و Web Data. تضمن آلية النسخ الإجباري نسخ الملفات المقفولة.
استغلال المتصفح بدون واجهة
تبحث البرمجية الخبيثة بعد ذلك في مجلدات 'Program Files' و 'Program Files (x86)' عن تثبيتات Chrome و Edge. تقوم بتشغيل المتصفحات في وضع بدون واجهة باستخدام ملف التعريف المنسوخ، مما يتسبب في تطبيق جميع ملفات تعريف الارتباط النشطة للمستخدم، بما في ذلك حساب Google المسجل فيه، وتجاوز المصادقة. باستخدام Puppeteer، وهي مكتبة JavaScript للتحكم في المتصفحات القائمة على Chromium عبر بروتوكول أدوات المطورين في Chrome، تتصل Umbrij بمنفذ تصحيح الأخطاء عن بُعد وترسل طلب رمز التفويض.
يوجه طلب HTTP GET المتصفح إلى عنوان URL لـ Google OAuth على 'accounts.google.com/o/oauth2/v2/auth/identifier' مع 'client_id' يقابل أداة ترحيل مستخدمة لاستيراد ملفات PST المحلية وبيانات من حسابات Microsoft Exchange إلى حساب Google Workspace. يحدد الطلب أيضاً مجموعة الأذونات المطلوبة من قبل التطبيق. تحاكي JavaScript أحداث النقر بالماوس لاختيار حساب Google المناسب ومنح الوصول الكامل إلى Gmail وDrive وجهات الاتصال والتقويم والمهام.
يتم إعادة توجيه جلسة المتصفح إلى عنوان محلي محدد في الطلب الأولي، ويتم استخراج رمز تفويض OAuth من عنوان URL. 'برمجية Umbrij، مثل معظم الأدوات الأخرى في ترسانة ToddyCat، تسجل إجراءاتها بالتفصيل وتحفظها في ملف. كما تحفظ رمز التفويض المسترد في ملف السجل هذا، والذي يقوم المشغل بعد ذلك باستخراجه من المضيف المخترق،' أشارت كاسبرسكي.
الإسناد والسياق التاريخي
ToddyCat هو الاسم المخصص لمجموعة APT التي نشطت منذ عام 2020 على الأقل، واستهدفت مؤسسات في جميع أنحاء أوروبا وآسيا. أظهرت المجموعة سابقاً اهتماماً بسرقة بيانات البريد الإلكتروني. في نوفمبر 2025، فصّلت كاسبرسكي استخدام ToddyCat لأداة مخصصة تسمى TCSectorCopy لسرقة بيانات البريد الإلكتروني لـ Microsoft Outlook من الشركات المستهدفة.
يعد اكتشاف Umbrij ملحوظاً بسبب أتمتته. 'تواصل مجموعة ToddyCat APT البحث عن طرق لاختراق اتصالات البريد الإلكتروني المؤسسية. أداةهم الجديدة، Umbrij، تعمل على أتمتة محاولات المهاجمين للوصول إلى حسابات البريد الإلكتروني التنظيمية. لا تساعد هذه الأتمتة في زيادة نطاق وتواتر هجماتهم فحسب، بل تُظهر أيضاً دافع ToddyCat القوي ومهاراتهم التقنية المتقدمة،' قال أندريه غونكين، كبير محللي البرمجيات الخبيثة في كاسبرسكي.
نصائح التخفيف
لمواجهة هذا التهديد، يجب على المؤسسات والأفراد مراجعة رموز التفويض الممنوحة للتطبيقات بالانتقال إلى 'myaccount.google.com/connections' والبحث عن تطبيقات باسم 'Google Workspace Migration for Microsoft Outlook' أو 'Google Workspace Sync for Microsoft Outlook'. إذا كان أي من هذين التطبيقين موجوداً ولا يُستخدم فعلياً، فمن الضروري إلغاء وصوله لإبطال رموز OAuth. نظراً لتعقيد الهجوم، يُنصح المستخدمون أيضاً بمراقبة إضافات المتصفح والتأكد من تحديث المتصفحات القائمة على Chromium.