มัลแวร์ Umbrij ช่องโหว่ OAuth เจาะ Gmail องค์กรผ่าน Google API
กลุ่ม ToddyCat ใช้มัลแวร์ Umbrij เจาะระบบ Gmail องค์กรผ่าน OAuth และ Google API เพื่อขโมยข้อมูลอีเมล แนวทางป้องกันและเฝ้าระวัง
นักวิจัยด้านความปลอดภัยจาก Kaspersky เปิดเผยถึงภัยคุกคามทางไซเบอร์ครั้งใหม่ที่มุ่งเป้าโจมตีองค์กรผ่านระบบอีเมลบน Gmail โดยกลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ ToddyCat ได้พัฒนาเครื่องมือมัลแวร์ที่ชื่อว่า Umbrij เพื่อใช้ในการเจาะระบบ
มัลแวร์นี้ถูกออกแบบมาให้เข้าถึงการสื่อสารทางอีเมลของเหยื่ออย่างลับๆ ผ่านการใช้ API ของ Google ซึ่งเป็นช่องทางที่องค์กรหลายแห่งอาจมองข้ามและไม่มีการป้องกันที่เพียงพอ
จุดมุ่งหมายของกลุ่ม ToddyCat
กลุ่ม ToddyCat เป็นที่รู้จักในวงการความปลอดภัยทางไซเบอร์ในฐานะกลุ่มผู้คุกคามที่มีความซับซ้อนในการโจมตีเป้าหมายระดับสูง โดยเฉพาะองค์กรขนาดใหญ่และหน่วยงานสำคัญ ในการโจมตีครั้งนี้ พวกเขาให้ความสนใจเป็นพิเศษกับข้อมูลการสื่อสารทางธุรกิจที่อยู่ในระบบ Gmail
เป้าหมายหลักของพวกเขาคือการขโมยข้อมูลที่เป็นความลับจากการสนทนาทางอีเมลของพนักงานในองค์กร การเจาะผ่านระบบ API ทำให้มัลแวร์สามารถทำงานได้โดยไม่ต้องอาศัยช่องโหว่แบบดั้งเดิมบนเว็บเบราว์เซอร์
กลไกการทำงานของมัลแวร์ Umbrij
Umbrij ทำงานโดยการขอสิทธิ์เข้าถึงผ่าน OAuth ซึ่งเป็นมาตรฐานการยืนยันตัวตนที่ใช้กันอย่างแพร่หลาย เมื่อเหยื่อเผลออนุญาตให้สิทธิ์ มัลแวร์จะสามารถเข้าถึงกล่องจดหมายของ Gmail ผ่าน Google API ได้อย่างสมบูรณ์
ลักษณะการทำงานนี้ทำให้มัลแวร์สามารถหลบเลี่ยงระบบตรวจสอบความปลอดภัยแบบดั้งเดิมได้ เนื่องจากดูเหมือนเป็นการใช้งานจากแอปพลิเคชันที่ได้รับอนุญาตตามปกติ การตรวจจับทำได้ยากหากไม่มีระบบวิเคราะห์พฤติกรรมที่ละเอียด
ผลกระทบต่อองค์กรธุรกิจ
การโจมตีครั้งนี้ส่งผลกระทบโดยตรงต่อความปลอดภัยของข้อมูลองค์กร เนื่องจากอีเมลเป็นช่องทางหลักในการสื่อสารทางธุรกิจที่มักมีข้อมูลสำคัญทั้งด้านการเงิน ความลับทางการค้า และข้อมูลส่วนบุคคลของลูกค้า
องค์กรที่ใช้ Gmail สำหรับการทำงานควรตระหนักถึงภัยคุกคามรูปแบบใหม่นี้ และควรมีมาตรการป้องกันเพิ่มเติมนอกเหนือจากระบบรักษาความปลอดภัยมาตรฐาน เช่น การตรวจสอบสิทธิ์การเข้าถึง API อย่างสม่ำเสมอ
แนวทางป้องกันและเฝ้าระวัง
ทีมรักษาความปลอดภัยควรตรวจสอบแอปพลิเคชันที่ได้รับสิทธิ์ OAuth ในบัญชี Google Workspace ขององค์กรอย่างเคร่งครัด และควรจำกัดการอนุมัติสิทธิ์เฉพาะแอปพลิเคชันที่จำเป็นเท่านั้น
- ตรวจสอบและเพิกถอนสิทธิ์การเข้าถึง API ที่ไม่จำเป็น
- ใช้ระบบแจ้งเตือนเมื่อมีการขอสิทธิ์ OAuth ผิดปกติ
- อบรมพนักงานให้ระมัดระวังการอนุมัติสิทธิ์จากแอปพลิเคชันที่ไม่คุ้นเคย
- ติดตามข่าวสารด้านความปลอดภัยจากแหล่งข้อมูลที่น่าเชื่อถือ
การป้องกันที่ดียังรวมถึงการใช้เครื่องมือตรวจสอบความปลอดภัยบนระบบคลาวด์ และการทำงานร่วมกับผู้ให้บริการด้านความมั่นคงปลอดภัยทางไซเบอร์ที่มีความเชี่ยวชาญ
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด