Back to Blog

มัลแวร์ Umbrij ช่องโหว่ OAuth เจาะ Gmail องค์กรผ่าน Google API

กลุ่ม ToddyCat ใช้มัลแวร์ Umbrij เจาะระบบ Gmail องค์กรผ่าน OAuth และ Google API เพื่อขโมยข้อมูลอีเมล แนวทางป้องกันและเฝ้าระวัง

Sales
1 min read
มัลแวร์ Umbrij ช่องโหว่ OAuth เจาะ Gmail องค์กรผ่าน Google API

นักวิจัยด้านความปลอดภัยจาก Kaspersky เปิดเผยถึงภัยคุกคามทางไซเบอร์ครั้งใหม่ที่มุ่งเป้าโจมตีองค์กรผ่านระบบอีเมลบน Gmail โดยกลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ ToddyCat ได้พัฒนาเครื่องมือมัลแวร์ที่ชื่อว่า Umbrij เพื่อใช้ในการเจาะระบบ

มัลแวร์นี้ถูกออกแบบมาให้เข้าถึงการสื่อสารทางอีเมลของเหยื่ออย่างลับๆ ผ่านการใช้ API ของ Google ซึ่งเป็นช่องทางที่องค์กรหลายแห่งอาจมองข้ามและไม่มีการป้องกันที่เพียงพอ



จุดมุ่งหมายของกลุ่ม ToddyCat


กลุ่ม ToddyCat เป็นที่รู้จักในวงการความปลอดภัยทางไซเบอร์ในฐานะกลุ่มผู้คุกคามที่มีความซับซ้อนในการโจมตีเป้าหมายระดับสูง โดยเฉพาะองค์กรขนาดใหญ่และหน่วยงานสำคัญ ในการโจมตีครั้งนี้ พวกเขาให้ความสนใจเป็นพิเศษกับข้อมูลการสื่อสารทางธุรกิจที่อยู่ในระบบ Gmail

เป้าหมายหลักของพวกเขาคือการขโมยข้อมูลที่เป็นความลับจากการสนทนาทางอีเมลของพนักงานในองค์กร การเจาะผ่านระบบ API ทำให้มัลแวร์สามารถทำงานได้โดยไม่ต้องอาศัยช่องโหว่แบบดั้งเดิมบนเว็บเบราว์เซอร์



กลไกการทำงานของมัลแวร์ Umbrij


Umbrij ทำงานโดยการขอสิทธิ์เข้าถึงผ่าน OAuth ซึ่งเป็นมาตรฐานการยืนยันตัวตนที่ใช้กันอย่างแพร่หลาย เมื่อเหยื่อเผลออนุญาตให้สิทธิ์ มัลแวร์จะสามารถเข้าถึงกล่องจดหมายของ Gmail ผ่าน Google API ได้อย่างสมบูรณ์

ลักษณะการทำงานนี้ทำให้มัลแวร์สามารถหลบเลี่ยงระบบตรวจสอบความปลอดภัยแบบดั้งเดิมได้ เนื่องจากดูเหมือนเป็นการใช้งานจากแอปพลิเคชันที่ได้รับอนุญาตตามปกติ การตรวจจับทำได้ยากหากไม่มีระบบวิเคราะห์พฤติกรรมที่ละเอียด



ผลกระทบต่อองค์กรธุรกิจ


การโจมตีครั้งนี้ส่งผลกระทบโดยตรงต่อความปลอดภัยของข้อมูลองค์กร เนื่องจากอีเมลเป็นช่องทางหลักในการสื่อสารทางธุรกิจที่มักมีข้อมูลสำคัญทั้งด้านการเงิน ความลับทางการค้า และข้อมูลส่วนบุคคลของลูกค้า

องค์กรที่ใช้ Gmail สำหรับการทำงานควรตระหนักถึงภัยคุกคามรูปแบบใหม่นี้ และควรมีมาตรการป้องกันเพิ่มเติมนอกเหนือจากระบบรักษาความปลอดภัยมาตรฐาน เช่น การตรวจสอบสิทธิ์การเข้าถึง API อย่างสม่ำเสมอ



แนวทางป้องกันและเฝ้าระวัง


ทีมรักษาความปลอดภัยควรตรวจสอบแอปพลิเคชันที่ได้รับสิทธิ์ OAuth ในบัญชี Google Workspace ขององค์กรอย่างเคร่งครัด และควรจำกัดการอนุมัติสิทธิ์เฉพาะแอปพลิเคชันที่จำเป็นเท่านั้น

  • ตรวจสอบและเพิกถอนสิทธิ์การเข้าถึง API ที่ไม่จำเป็น
  • ใช้ระบบแจ้งเตือนเมื่อมีการขอสิทธิ์ OAuth ผิดปกติ
  • อบรมพนักงานให้ระมัดระวังการอนุมัติสิทธิ์จากแอปพลิเคชันที่ไม่คุ้นเคย
  • ติดตามข่าวสารด้านความปลอดภัยจากแหล่งข้อมูลที่น่าเชื่อถือ

การป้องกันที่ดียังรวมถึงการใช้เครื่องมือตรวจสอบความปลอดภัยบนระบบคลาวด์ และการทำงานร่วมกับผู้ให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ที่มีความเชี่ยวชาญ



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด