Yazışmalarla baxışanlar: Kaspersky təcavüzkarlara “Gmail” korporativ e-poçtuna giriş təmin edən alət aşkarlayıb
Kaspersky mütəxəssisləri korporativ “Gmail” hesablarının ələ keçirilməsi üçün tətbiq olunan yeni hücum vektoru və alətlər dəsti aşkarlayıblar. Bu alətlər dəsti vasitəsilə təcavüzkarlar API üzərindən istifadəçi hesablarına daxil ola, söhbətləri oxuya və uzun müddət aşkarlanmadan təqvimlərdən və digər “Google” xidmətlərindən məlumat toplaya bilərlər. Tədqiqatçılar bu nəticəyə “ToddyCat” qrupunun fəaliyyətinin araşdırılması zamanı gəliblər.
“Gmail” hesabını ələ keçirməyin yeni üsulu. Üçüncü tərəf tətbiqləri API üzərindən “Google” xidmətlərinə giriş tələb edə bilər. Məsələn, istifadəçi mobil telefondakı təqvim məlumatlarını e-poçtla sinxronlaşdırmaq istəyirsə, təsdiq üçün “Oauth” tokeni tələb olunur. Bu tokeni əldə etmək, müvafiq olaraq lazımi resurslara giriş üçün təcavüzkarlar “Umbrij” alətini hazırlayıblar. Bu alət “Windows”u hədəf alır, lakin potensial olaraq digər əməliyyat sistemlərinin istifadəçilərinə qarşı hücumlarda da istifadə edilə bilər. Alət qurbanın e-poçtuna, bulud yaddaşına, kontaktlarına tam giriş və digər icazələri tələb edə bilər. Kaspersky tədqiqatçıları bu texnikaya “Shadow Token via Remote Debug” (STRD) adını veriblər.
Sözügedən hücum “Chromium” mühərriki ilə çalışan brauzerlərdə mümkündür. İstifadəçi “Gmail” hesabından çıxmayıbsa, brauzer onun giriş sessiyasını saxlayır və bu, hücumçular tərəfindən ələ keçirilir. Onlar brauzer nümunəsini işə salır, sazlama portu vasitəsilə qoşulur və yadda saxlanılan istifadəçi sessiyası daxilində “Google” hesabının resurslarına daxil olmaq üçün “Gmail”ə sorğular göndərirlər. Bununla da, təcavüzkarların giriş məlumatlarını daxil etməsinə ehtiyac qalmır.

“E-poçt korporativ həmişəki kimi şirktələrdə işgüzar yazışmaların əsas vasitəsi olaraq qalır və təcavüzkarlar onları oxumaq üçün müxtəlif üsullara əl atırlar. ‘Umbrij’in aşkarlanması bunun növbəti sübutudur. Alət təcavüzkarlara təşkilatların e-poçt hesablarına daxil olmaq cəhdlərini avtomatlaşdırmağa imkan verir ki, bu da hücumların miqyasının və tezliyinin artmasına səbəb olur. ‘Umbrij’in üzə çıxması həmçinin ‘ToddyCat’ qrupunun yüksək motivasiyasını və texniki bacarıqlarının təkamülünü nümayiş etdirir”, – deyə Kaspersky-nin kibertəhlükəsizlik üzrə mütəxəssisi Andrey Qunkin bildirir. “Bu cür təhdidlərdən qorunmaq üçün təşkilatlar qeyri-adi fəaliyyəti diqqətlə izləməlidirlər. Məsələn, sazlama portu aktiv olan brauzerin işə salınması veb-tətbiqlərinin hazırlanmasına aidiyyəti olmayan əksər istifadəçilər üçün qeyri-adi davranışdır. ‘Google’ hesablarına daxil olan üçüncü tərəf tətbiqlərini və xidmətlərini müntəzəm olaraq yoxlamaq da vacibdir. Riskləri azaltmaq məqsədilə gündəlik işlərində onlara ehtiyac duymayan işçilər üçün ‘Chromium’ əsaslı brauzerlərdə tərtibatçının alətlərini deaktiv etməyi də nəzərdən keçirə bilərsiniz.”
“ToddyCat” haqqında daha ətraflı məlumatı “Securelist”-in məqaləsindən əldə edə bilərsiniz.
Kaspersky-nin “Kaspersky EDR Expert” kimi həlləri təsvir edilən zərərli fəaliyyəti aşkarlayır.
Mürəkkəb kiberhücumlardan qorunmaq üçün Kaspersky həmçinin şirkətlərə tövsiyə edir:
- “Kaspersky Symphony” kimi geniş çeşiddə kibertəhdidlərə qarşı hərtərəfli müəssisə qorunması təmin edən həllərdən istifadə edin. Bu məhsul xətti EPP, EDR və XDR kateqoriyalarında real vaxt rejimində qorunma, hərtərəfli təhdid aşkarlanması, tədqiqat və cavab tədbirlərini təmin edir. Biznesin ehtiyacları və resurslarından asılı olaraq əsasən çoxsaylı qorunma səviyyələri təklif etdiyi üçün istənilən ölçüdə və istənilən sənayedən olan təşkilatlar üçün uyğundur;
- informasiya təhlükəsizliyi mütəxəssislərinə hücumçular tərəfindən istifadə edilən ən son taktikalar, texnikalar və prosedurlar haqqında məlumatlara çıxış imkanı təmin edin. “Kaspersky Threat Intelligence” Kaspersky mütəxəssisləri tərəfindən 25 ildən çoxdur toplanmış bütün kibertəhdid məlumatlarına vahid giriş nöqtəsidir;
- təhlükəsizliyi tam nəzarətdə saxlamaq üçün təhdidin aşkarlanmasından aradan qaldırılmasına qədər bütöv insidentlərə cavab dövrünü əhatə edən “Kaspersky Compromise Assessment”, “Kaspersky Managed Detection and Response” və/və ya “Kaspersky Incident Response” kimi təhlükəsizlik həllərini tətbiq edin.








