高级持续性威胁
ToddyCat APT部署Umbrij恶意软件,通过OAuth令牌窃取劫持Gmail
ToddyCat的最新工具Umbrij通过以无头模式启动Chromium浏览器并利用远程调试端口进行控制,自动从活跃的Gmail会话中窃取OAuth令牌。该恶意软件可提取授权码,从而完全访问Gmail、云端硬盘、联系人、日历和任务。

Kaspersky发布了一份详细报告,确认了一种名为Umbrij的新型恶意软件,并将其归因于高级持续性威胁组织ToddyCat。Umbrij旨在通过利用基于Chromium的浏览器的远程调试功能,从活跃的Google会话中窃取OAuth授权码。这种技术代号为“通过远程调试的Shadow Token”(STRD),使攻击者无需用户凭据即可访问托管在Gmail上的企业邮件通信。
据Kaspersky称,攻击者开发Umbrij是为了获取OAuth令牌,并通过远程调试端口以无头模式连接到浏览器的管理控制台。然后,该恶意软件发出一系列请求以获取OAuth授权码,该授权码被交换为访问令牌,从而提供对目标资源的API级访问。这种攻击之所以特别有效,是因为它不需要受害者点击任何恶意链接或下载可疑附件,只需利用受感染主机上现有的活跃Gmail会话即可。
攻击流程与技术细节
Umbrij是一个基于.NET的动态链接库(DLL),使用ConfuserEx进行混淆,并通过DLL侧加载方式部署。Kaspersky识别了三种被滥用的合法二进制文件:BDSubWiz.exe(Bitdefender组件)、VSTestVideoRecorder.exe(Microsoft Visual Studio的一部分)和GoogleDesktop.exe(已停用的Google桌面搜索应用程序)。该恶意软件可以通过命令行参数调用,指定目标浏览器(Google Chrome或Microsoft Edge)、是否将用户配置文件截图保存为PDF,以及工具运行时的系统用户名。
一旦启动,Umbrij会在受感染的Windows主机上执行一系列准备操作。它验证指定用于浏览器调试的端口的可用性,通过搜索“explorer.exe”并复制其令牌来获取用户上下文,以保留所有登录用户的权限,并构建用户本地应用程序数据中浏览器应用程序文件夹的路径。然后,该恶意软件解析与Chrome或Edge对应的Local State文件,以收集有关存储的浏览器用户配置文件的信息。
Umbrij枚举所有配置文件,并扫描其中包含电子邮件地址的字段“user_name”,电子邮件地址的存在表明用户已通过Google服务认证。它在浏览器的本地应用程序数据文件夹中创建一个“BackupFiles”目录,并复制关键配置文件,如IndexedDB、本地存储、网络、登录数据、偏好设置和Web数据。一种强制复制机制确保即使文件被锁定也能被复制。
无头浏览器利用
然后,该恶意软件在“Program Files”和“Program Files (x86)”文件夹中搜索Chrome和Edge的安装。它使用复制的配置文件以无头模式启动浏览器,从而应用所有活跃的用户Cookie,包括已登录的Google账户,并跳过身份验证。Umbrij使用Puppeteer(一种通过Chrome DevTools协议控制基于Chromium的浏览器的JavaScript库)连接到远程调试端口,并发送授权码请求。
HTTP GET请求将浏览器引导至位于“accounts.google.com/o/oauth2/v2/auth/identifier”的Google OAuth URL,其中包含一个与用于将本地PST文件和来自Microsoft Exchange账户的数据导入Google Workspace账户的迁移工具相对应的“client_id”。该请求还指定了应用程序所需的权限集。JavaScript模拟鼠标点击事件以选择合适的Google账户,并授予对Gmail、云端硬盘、联系人、日历和任务的完全访问权限。
浏览器会话被重定向到初始请求中指定的本地地址,OAuth授权码从URL中提取。Kaspersky指出:“Umbrij与ToddyCat武器库中的大多数其他工具一样,会详细记录其操作并将其保存到文件中。它还会将检索到的授权码保存到此日志文件中,随后操作员会从受感染主机中提取该授权码。”
归因与历史背景
ToddyCat是一个至少自2020年以来一直活跃的APT组织,其目标为欧洲和亚洲的组织。该组织此前已表现出对电子邮件数据窃取的兴趣。2025年11月,Kaspersky详细介绍了ToddyCat使用一种名为TCSectorCopy的自定义工具从目标公司窃取Microsoft Outlook电子邮件数据的情况。
Umbrij的发现因其自动化特性而引人注目。Kaspersky高级恶意软件分析师Andrey Gunkin表示:“ToddyCat APT组织继续寻找破坏企业电子邮件通信的方法。他们的新工具Umbrij自动化了攻击者获取组织电子邮件账户访问权限的尝试。这种自动化不仅有助于提高其攻击的规模和频率,也展示了ToddyCat强大的动机和先进的技术能力。”
缓解建议
为应对这一威胁,组织和个人应通过导航至“myaccount.google.com/connections”并查找名为“Google Workspace Migration for Microsoft Outlook”或“Google Workspace Sync for Microsoft Outlook”的应用程序,来审查授予应用程序的授权码。如果存在这些应用程序但实际上并未使用,则必须撤销其访问权限以使OAuth令牌失效。鉴于攻击的复杂性,建议用户同时监控浏览器扩展,并确保基于Chromium的浏览器保持更新。