Новият зловреден софтуер Umbrij използва OAuth за достъп до Gmail чрез Google API

Новият зловреден софтуер Umbrij използва OAuth за достъп до Gmail чрез Google API
Изследователи по киберсигурност откриха нов зловреден софтуер, наречен Umbrij, свързан с групата ToddyCat, който използва OAuth протокол за неоторизиран достъп до корпоративни Gmail акаунти чрез Google API. Тази заплаха подчертава уязвимостите в сигурността на корпоративните имейл системи и необходимостта от по-строги мерки за защита на достъпа чрез API.

В последните дни специалисти по киберсигурност алармираха за нов зловреден софтуер, наречен Umbrij, който е свързан с известната хакерска група ToddyCat. Този зловреден код използва механизма OAuth, за да получи неоторизиран достъп до имейл кореспонденцията на жертвите, като се възползва от Google API за Gmail. Тази нова заплаха е насочена предимно към корпоративни акаунти, което я прави особено опасна за бизнеса.

Какво представлява Umbrij и как действа?

Umbrij е зловреден софтуер, който експлоатира OAuth протокола – стандартен метод за удостоверяване и разрешаване на достъп до приложения и услуги без да се споделят пароли. Чрез манипулиране на OAuth, Umbrij може да получи достъп до Gmail акаунти на жертвите, използвайки Google API, без да предизвиква подозрение. Това позволява на нападателите да четат, изпращат и манипулират имейли, което води до изтичане на чувствителна корпоративна информация.

Според доклад на Kaspersky, кампанията е насочена към корпоративни потребители, като целта е да се компрометират служебни имейл акаунти, които често съдържат важна и конфиденциална информация. Използването на API за достъп означава, че традиционните методи за откриване на зловреден софтуер, които се фокусират върху подозрителни прикачени файлове или линкове, може да не са достатъчни за разпознаване на тази заплаха.

Защо тази заплаха е важна за бизнеса и потребителите?

Имейлът остава един от най-важните канали за комуникация в бизнеса, като често съдържа договори, финансови данни, лична информация и други критични документи. Зловреден софтуер като Umbrij, който може да проникне в тези системи без да бъде забелязан, поставя под риск не само поверителността на данните, но и цялостната сигурност на организациите.

Освен това, използването на OAuth за атаки демонстрира, че дори модерните и широко прилагани протоколи за сигурност могат да бъдат уязвими, ако не се прилагат правилно или ако потребителите не са достатъчно информирани. Това налага необходимостта от по-стриктен контрол на достъпа, мониторинг на активността в API и обучение на служителите за рисковете, свързани с разрешенията, които предоставят на приложенията.

По-широк контекст и тенденции в киберсигурността

В последните години наблюдаваме нарастваща тенденция за атаки, които използват легитимни механизми и услуги, като OAuth, API и облачни платформи, за да заобиколят традиционните защитни мерки. Това изисква от компаниите да адаптират своите стратегии за сигурност, като интегрират решения за управление на идентичности и достъпи (IAM), многослойна автентикация и постоянен мониторинг на поведението на потребителите и приложенията.

Групи като ToddyCat, които стоят зад Umbrij, са известни с целенасочени и сложни кампании, насочени към корпоративни мрежи и ценни цели. Техните методи се развиват постоянно, което налага непрекъснато наблюдение и актуализиране на защитните системи.

Какво може да последва и как да се предпазим?

Очаква се подобни атаки да се увеличат, като хакерите ще продължат да експлоатират OAuth и други протоколи за достъп, за да проникват в корпоративни системи. За да се предпазят, организациите трябва да предприемат няколко ключови стъпки:

  • Внедряване на многофакторна автентикация (MFA) за всички акаунти с достъп до критични системи.
  • Редовен преглед и ограничаване на разрешенията, предоставени на външни приложения чрез OAuth.
  • Мониторинг и анализ на активността в API, за да се откриват аномалии и подозрителни действия.
  • Обучение на служителите за рисковете, свързани с предоставянето на достъп и използването на облачни услуги.
  • Използване на решения за управление на идентичности и достъпи, които да осигурят централизирано управление и контрол.

В заключение, появата на Umbrij подчертава необходимостта от по-задълбочено разбиране на рисковете, свързани с OAuth и API достъпа, както и от интегриране на комплексни мерки за защита в корпоративните информационни системи. Само с проактивен подход и съвременни технологии компаниите могат да се предпазят от подобни напреднали заплахи.

Тази статия е автоматично обобщена и структурирана от AI News Tech въз основа на публично достъпни технологични източници.

Източници

Видео по темата

Game Physics Just Got 170 Times Faster
Game Physics Just Got 170 Times Faster Two Minute Papers
MSI Trades Security for RGB
MSI Trades Security for RGB Gamers Nexus
The Best Car I've Ever Driven: McLaren W1
The Best Car I've Ever Driven: McLaren W1 Marques Brownlee
What Wiring Do We Use?
What Wiring Do We Use? Linus Tech Tips