ToddyCat、OAuthの脆弱性を悪用 Gmail狙う「Shadow Token」攻撃を確認
OAuth認証を悪用し、GmailとGoogle Workspaceへの不正アクセスを試行
APTグループToddyCatが、OAuth認証を悪用してGmailアカウントを標的とする新たな攻撃ツールを使用していることが確認された。同グループは、MicrosoftおよびGoogleの認証プロセスを回避し、「Shadow Token」と呼ばれる手法を利用することで、認証情報を窃取することなくGmailやGoogle Workspaceへの不正アクセスを試みることが可能とされている。
UmbrijバックドアでOAuth認証を悪用、Googleサービスへの不正アクセスを狙う
ToddyCatは、Umbrijと呼ばれる.NET製バックドアを利用し、OAuth認証を悪用した攻撃を展開していた。同グループは、正規のデジタル署名が付与された実行ファイルと悪意のあるDLLを組み合わせ、DLLサイドローディングによってWindowsホスト上で不正なライブラリを読み込ませる手法を使用した。これにより、OAuth認証コードを自動的に取得し、Gmailや各種Google APIへのアクセス権限を不正に取得することが可能になる。
ブラウザプロファイルを複製し、認証済みセッションを悪用
Umbrijが実行されると、被害者のLocalAppDataに保存されたブラウザプロファイルを複製し、新たなプロファイルを作成したうえでヘッドレスブラウザ上で実行する。これにより、認証済みのセッションを維持したまま操作を継続できるため、攻撃者はユーザーにパスワード入力や認証を求めることなく、企業の機密データを不正に取得・流出させる可能性がある。
EDR強化とOAuth権限管理が被害防止の鍵に
組織は、Umbrijの亜種を検知できるEDRを導入するとともに、不審なDLLの読み込みや、Chromiumベースのブラウザにおけるデバッグポートの利用状況を継続的に監視することが重要だ。また、Googleアカウントに付与されたOAuth権限を定期的に見直し、不要な権限や使用していないサードパーティアプリケーションのアクセス権は速やかに削除することが推奨される。
今回の事例は、認証情報の保護だけでなく、OAuthを利用するサードパーティアプリケーションの権限管理も重要なセキュリティ対策であることを示している。組織はEDRによる監視体制の強化とアクセス権限の適切な管理を徹底し、同様の攻撃への備えを強化する必要がある。

