# ToddyCat và Umbrij: Khi OAuth trở thành mục tiêu mới của các chiến dịch APT

## Tổng Quan

Chiến dịch mới đây được ghi nhận của nhóm **APT ToddyCat** nhắm thẳng vào các doanh nghiệp sử dụng dịch vụ **email Google Workspace (Gmail)**. Bằng việc sử dụng công cụ chuyên biệt mang tên **Umbrij**, kẻ tấn công không tìm cách bẻ khóa mật khẩu hay bypass MFA theo cách truyền thống. Thay vào đó, chúng chiếm quyền kiểm soát các phiên đăng nhập Chromium đang hoạt động trên máy trạm thông qua giao thức debug của trình duyệt, từ đó tự cấp quyền OAuth cho ứng dụng di trú của Google Workspace.

Rủi ro lớn nhất của hình thức này là sự tồn tại bền vững (persistence) ở mức độ API: sau khi có được token OAuth, kẻ tấn công có thể liên tục đọc email, tải tệp tin trên Drive và thu thập lịch trình của nạn nhân ngay cả khi họ thay đổi mật khẩu hoặc bật MFA. Các giải pháp giám sát Endpoint (EDR) và Antivirus truyền thống thường bỏ sót hành vi này do tiến trình yêu cầu token là các trình duyệt Chromium hợp pháp (Chrome, Microsoft Edge) chạy dưới quyền của chính người dùng.

## Đôi Nét Về **APT ToddyCat**

### **APT ToddyCat Là Ai?**

**ToddyCat** không phải một cái tên mới trong thế giới tình báo mối đe dọa. Kể từ khi được **Kaspersky GReAT** lần đầu công bố vào giữa năm 2022, nhóm này liên tục gây sức ép lên các cơ quan chính phủ và tổ chức quân sự tại châu Á và Đông Âu thông qua các chiến dịch gián điệp dài hạn, có quy mô công nghiệp. Điểm đặc biệt khiến ToddyCat trở thành một đối thủ đáng ngại không nằm ở độ tinh vi kỹ thuật đơn thuần, mà ở khả năng liên tục thay đổi chiến thuật để thích nghi với sự dịch chuyển công nghệ của các mục tiêu — từ máy chủ Exchange vật lý đến nay là hệ sinh thái SaaS của Google.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/ae980fd7-fe35-442d-8e50-e57c427377a6.png align="center")

### **Định Danh Và Attribution**

| **Thuộc tính** | **Chi tiết** |
| --- | --- |
| **Tên nhóm** | ToddyCat |
| **MITRE ID** | G1022 |
| **Biệt danh khác** | \[NEEDS VERIFICATION: alias từ các vendor khác ngoài Kaspersky\] |
| **Hoạt động từ** | Ít nhất tháng 12/2020 (phát hiện lần đầu trên máy chủ Exchange tại Đài Loan và Việt Nam) |
| **Độ tinh vi** | Cao — phát triển công cụ tùy biến, ít phụ thuộc vào malware thương mại |
| **Nghi ngờ có liên kết** | Phù hợp với lợi ích địa chính trị của nhà nước Trung Quốc (theo nhiều nguồn phân tích, `[SINGLE SOURCE - cần cross-verify]`) |
| **Động cơ chính** | Gián điệp mạng (Cyber-espionage), thu thập thông tin tình báo chiến lược |

### **Phạm Vi Mục Tiêu**

ToddyCat ưu tiên các tổ chức có giá trị tình báo cao, đặc biệt trong các ngành:

*   **Chính phủ và Ngoại giao** — bộ, ban, ngành cấp bộ; đại sứ quán và phái đoàn ngoại giao
    
*   **Quốc phòng và Quân sự** — bộ tư lệnh, nhà thầu quốc phòng, cơ quan nghiên cứu vũ khí
    
*   **Viễn thông** — nhà mạng di động, nhà cung cấp hạ tầng cáp quang quốc tế
    
*   **Tài chính và Năng lượng** — ở mức độ thấp hơn, chủ yếu ở giai đoạn 2023 trở đi
    

Về địa lý, các quốc gia bị tấn công xác nhận hoặc có độ tin cậy cao bao gồm: **Việt Nam, Đài Loan, Kazakhstan, Uzbekistan, Kyrgyzstan, Ấn Độ, Indonesia, Iran**, cùng một số quốc gia Đông Âu. Việt Nam xuất hiện ngay từ giai đoạn sơ khởi của nhóm, cho thấy đây là một trong những trọng tâm địa lý ưu tiên của ToddyCat.

### Lịch Sử Hoạt Động

**Giai đoạn 1 (12/2020 – 2/2021) — Thăm dò Có Chọn lọc**

ToddyCat bắt đầu hoạt động bằng cách xâm nhập một số ít máy chủ Microsoft Exchange tại Đài Loan và Việt Nam thông qua một lỗ hổng chưa được xác định. Ở giai đoạn này, nhóm hoạt động rất cẩn thận và có chọn lọc, tránh để lại dấu vết rộng.

**Giai đoạn 2 (2/2021 – 9/2021) — Khai thác ProxyLogon và Mở rộng Quy mô**

Khi Microsoft công bố chuỗi lỗ hổng ProxyLogon vào tháng 3/2021, ToddyCat nhanh chóng leo thang hoạt động và khai thác các lỗ hổng này để xâm nhập hàng loạt tổ chức trên khắp châu Á và châu Âu. Đây là lần đầu tiên nhóm bộc lộ quy mô thực sự và khả năng tác chiến song song trên nhiều nạn nhân cùng lúc. Công cụ chính giai đoạn này là **China Chopper webshell** và **Samurai Backdoor** — một passive backdoor được thiết kế để nhận lệnh qua các giao thức HTTP/HTTPS hợp pháp.

**Giai đoạn 3 (9/2021 – 2022) — Triển khai Ninja Trojan và Lateral Movement**

Từ tháng 9/2021, nhóm bắt đầu triển khai **Ninja Trojan** — một công cụ post-exploitation phức tạp hơn, hỗ trợ đa kênh C2, chạy được trong bộ nhớ (in-memory), có khả năng proxy traffic qua nhiều lớp trung gian để che giấu cơ sở hạ tầng thực sự. Ninja Trojan thường được phân phối thông qua các file ZIP gửi qua Telegram, lạm dụng kênh nhắn tin hợp pháp để tránh bị chặn bởi firewall doanh nghiệp.

**Giai đoạn 4 (2023 – 2025) — Đánh cắp Dữ liệu "Công nghiệp hóa" và Leo thang Kỹ thuật**

Giai đoạn này đánh dấu sự chuyển dịch chiến lược lớn: thay vì dừng lại ở việc duy trì hiện diện trong mạng nội bộ, ToddyCat tập trung mạnh vào việc thu thập và exfiltrate khối lượng dữ liệu khổng lồ từ hệ thống email doanh nghiệp.

**Giai đoạn 5 (2026 – Hiện tại) — Umbrij và Tấn công Cloud API**

Sự xuất hiện của **Umbrij** là bước tiếp theo trong lộ trình leo thang kỹ thuật của ToddyCat. Thay vì tấn công vào email server vật lý hoặc đọc trực tiếp file email từ ổ đĩa, nhóm chuyển sang lạm dụng giao diện API chính thức của các dịch vụ đám mây — một kỹ thuật khó phát hiện hơn nhiều vì toàn bộ lưu lượng kết nối đều đi qua các endpoint HTTPS hợp pháp của Google.

### Công Cụ Và Kĩ Thuật

| **Công cụ** | **Chức năng** | **Kỹ thuật Đặc trưng** |
| --- | --- | --- |
| **TCSectorCopy** | Đọc dữ liệu OST/PST của Outlook ngay cả khi file đang bị lock | Sector-by-sector disk read, bypassing file locks |
| **TomBerBil** | Thu thập cookie và credentials từ trình duyệt trên nhiều máy trạm | Chạy từ Domain Controller, SMB lateral collection |
| **XstReader** | Đọc dữ liệu email dạng .xst trực tiếp từ ổ đĩa | File carving, raw disk access |
| **TCESB** | Khai thác CVE-2024-11859 trong ESET Command Line Scanner | BYOVD (Bring Your Own Vulnerable Driver) |
| **SharpTokenFinder / ProcDump** | Trích xuất OAuth token từ bộ nhớ của các tiến trình M365 | Process memory dump, token harvesting |

## Phân Tích Kĩ Thuật

### **Chuỗi Xâm nhập và Kỹ thuật DLL Side-loading**

ToddyCat thiết lập sự hiện diện trên máy trạm thông qua một chuỗi các tệp tin được phân phối bằng spear-phishing hoặc khai thác lỗ hổng trước đó. Kẻ tấn công tạo một Scheduled Task trên hệ điều hành Windows giả mạo giải pháp bảo mật với tên gọi `KasperskyEndpointSecurityEDRAvp`.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/9effbdc6-51a1-4b08-bf44-21cc6935bc27.png align="center")

Scheduled Task này sẽ thực thi một tiến trình hợp pháp có chữ ký số (digitally signed) nhưng dễ bị tổn thương bởi cơ chế DLL Side-loading. Đội ngũ phân tích ghi nhận 3 tệp thực thi hợp pháp bị lạm dụng trong chiến dịch này bao gồm:

1.  `BDSubWiz.exe` (Thành phần Submission Wizard thuộc Bitdefender ConnectAgent)
    
    ![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/2a071f2a-50de-4158-b44e-4c624a723898.png align="center")
    
2.  `VSTestVideoRecorder.exe` (Công cụ ghi video thử nghiệm của Microsoft Visual Studio)
    
3.  `GoogleDesktop.exe` (Ứng dụng Google Desktop Search cũ đã ngừng phát triển)
    

Khi một trong các tệp này được chạy, nó sẽ tự động tải thư viện liên kết động (DLL) giả mạo được đặt cùng thư mục. DLL độc hại này chính là loader của **Umbrij** - một công cụ được viết trên nền tảng .NET và được mã hóa/obfuscate kỹ lưỡng bằng ConfuserEx để cản trở quá trình dịch ngược và phân tích tĩnh của các giải pháp diệt virus.

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/cb818b50-688e-4555-b280-9dc5d8095630.png align="center")

### **Phân tích Kỹ thuật Chi tiết**

Khi được kích hoạt, Umbrij thực hiện một quy trình kiểm soát tinh vi trên máy nạn nhân nhằm cướp quyền truy cập trình duyệt:

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/0f1fc220-6a65-457d-9220-4260d61f9ce0.png align="center")

#### **Bước 1: Đánh cắp Token Tiến trình và Thu thập Profile Trình duyệt**

*   **Duplicate Process Token:** Để hoạt động mà không gây nghi ngờ và kế thừa đầy đủ quyền của nạn nhân, Umbrij tìm kiếm tiến trình `explorer.exe` của người dùng hiện tại đang đăng nhập. Nó thực hiện nhân bản token bảo mật của tiến trình này. Ngoài ra, mã độc hỗ trợ tham số dòng lệnh `-user <username>` để chỉ định rõ danh tính mục tiêu cần mạo danh.
    

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/c2e87b1b-d6c9-4489-9b61-e603e4024b89.png align="center")

*   **Quét thông tin Profile:** Mã độc truy cập tệp `Local State` trong thư mục dữ liệu ứng dụng của Google Chrome hoặc Microsoft Edge để liệt kê toàn bộ các profile người dùng. Nó tìm kiếm các profile có trường `user_name` chứa định dạng địa chỉ email (dấu hiệu cho thấy người dùng đã đăng nhập tài khoản Google).
    

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/b588437a-3fec-4e4c-bf62-3242d07bc95c.png align="center")

*   **Backup Dữ liệu Trình duyệt:** Để tránh việc khóa tệp khi trình duyệt của người dùng đang mở, Umbrij tạo một thư mục tạm thời mang tên `BackupFiles` tại đường dẫn `%LOCALAPPDATA%\Google\Chrome\` hoặc `%LOCALAPPDATA%\Microsoft\Edge\`. Sau đó, nó sao chép toàn bộ các thư mục và tệp nhạy cảm liên quan đến session của profile mục tiêu bao gồm: `IndexedDB`, `Local Storage`, `Network`, `Login Data`, `Login Data For Account`, `Preferences`, `Secure Preferences`, và `Web Data`. Nếu có tệp nào bị khóa, mã độc sẽ kích hoạt tiến trình force-copy để cưỡng chế sao chép.
    

#### **Bước 2: Khởi chạy Headless Chromium và Điều khiển bằng Puppeteer**

*   **Khởi chạy Trình duyệt Không Giao diện (Headless):** Umbrij tìm đường dẫn cài đặt của Chrome hoặc Edge trong thư mục `Program Files` và khởi chạy tiến trình này ở chế độ không giao diện (headless mode) bằng cách sử dụng dữ liệu từ thư mục `BackupFiles` đã sao chép. Dòng lệnh chạy trình duyệt bao gồm các tham số chỉ định cổng gỡ lỗi từ xa (`--remote-debugging-port=<port>`).
    
*   **Bỏ qua Xác thực 2FA/MFA:** Do chạy bằng bản sao profile chứa đầy đủ session cookie của người dùng đang hoạt động, phiên trình duyệt ẩn này tự động thừa hưởng trạng thái đăng nhập hợp lệ của tài khoản Google/Gmail mà không cần kích hoạt lại các bước xác thực như mật khẩu hay mã OTP gửi về điện thoại.
    
*   **Điều khiển qua Chrome DevTools Protocol:** Umbrij tích hợp sẵn thư viện **Puppeteer** (hoặc một thư viện tương đương kiểm soát Chrome DevTools Protocol) để kết nối trực tiếp vào cổng gỡ lỗi của phiên headless đang chạy. Từ đây, mã độc có toàn quyền gửi lệnh thực thi mã JavaScript và tương tác với trang web giống như một người dùng đang thao tác chuột và bàn phím.
    

## **Lạm Dụng Google Workspace API Và Exfiltration**

Sau khi đã kiểm soát được phiên trình duyệt, Umbrij tiến hành các bước lạm dụng API của Google để thiết lập quyền truy cập vĩnh viễn:

*   **Lạm dụng Client ID của Ứng dụng Di trú Tin cậy:** Kẻ tấn công không đăng ký một ứng dụng bên thứ ba mới (điều dễ bị Google Security phát hiện và cảnh báo). Thay vào đó, chúng lạm dụng các Client ID hợp pháp của chính Google dành cho các công cụ chuyển đổi dữ liệu, cụ thể là:
    
    *   **Google Workspace Migration for Microsoft Outlook (GWMME)**
        
    *   **Google Workspace Sync for Microsoft Outlook (GWSMO)**
        

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/96d8cf40-6210-476f-8984-844b95b8339e.png align="center")

*   **Gửi Yêu cầu Xác thực OAuth:** Thông qua Puppeteer, mã độc điều khiển trình duyệt điều hướng tới URL xác thực OAuth của Google: [`https://accounts.google.com/o/oauth2/v2/auth/identifier`](https://accounts.google.com/o/oauth2/v2/auth/identifier)`...` Trong tham số của URL này, mã độc truyền vào Client ID của công cụ di trú Outlook nêu trên, đi kèm các yêu cầu cấp quyền (scopes) cực kỳ rộng:
    
    *   Toàn quyền đọc, gửi và quản lý email ([`https://mail.google.com/`](https://mail.google.com/))
        
    *   Quyền truy cập tệp tin trên Google Drive
        
    *   Quyền đọc và ghi danh bạ (Contacts), lịch trình (Calendar) và tác vụ (Tasks).
        

![](https://cdn.hashnode.com/uploads/covers/6777abffdb647396c7d71de4/2f768645-d375-4d39-8227-ed66f9de8c7a.png align="center")

*   **Giả lập Hành vi Chấp thuận (Consent Approval):** Khi trang chấp thuận quyền OAuth hiển thị, Umbrij inject các đoạn mã JavaScript để tự động click chọn tài khoản Google của nạn nhân, sau đó click nút "Allow" (Cho phép) để xác nhận cấp quyền cho ứng dụng di trú.
    
*   **Trích xuất Authorization Code:** Sau khi nhấn đồng ý, Google sẽ chuyển hướng (redirect) phiên trình duyệt về một địa chỉ local loopback cùng với mã xác thực **Authorization Code** đính kèm trên URL. Umbrij bắt lấy yêu cầu chuyển hướng này, trích xuất chuỗi Authorization Code và ghi trực tiếp vào tệp nhật ký (log) của mã độc trên máy nạn nhân.
    
*   **Thu hồi Token:** Tệp log chứa Authorization Code sau đó được nhóm ToddyCat thu thập (exfiltrate) ra bên ngoài thông qua các kênh C2 khác. Tại máy chủ của kẻ tấn công, chuỗi mã này được gửi đến máy chủ của Google để đổi lấy **OAuth Access Token** và **Refresh Token**. Từ thời điểm này trở đi, kẻ tấn công có thể kết nối trực tiếp tới Google Workspace API từ bất kỳ đâu để tải toàn bộ hòm thư và dữ liệu của nạn nhân mà không cần tương tác thêm với máy trạm.
    

## **Tóm Tắt Rủi Ro Chiến Dịch**

Chiến dịch Umbrij của ToddyCat không phải một cuộc tấn công tầm thường. Mức độ rủi ro của nó cần được đánh giá qua nhiều chiều: không chỉ dừng lại ở khả năng kỹ thuật của mã độc, mà còn ở những khoảng mù trong phòng thủ mà kỹ thuật này khai thác và hậu quả kinh doanh kéo dài ngay cả sau khi phát hiện ra xâm phạm.

| **Chiều Rủi ro** | **Mức độ** | **Lý do** |
| --- | --- | --- |
| **Khả năng Phát hiện (Detectability)** | Thấp | Sử dụng tiến trình trình duyệt hợp pháp (chrome.exe/msedge.exe); lưu lượng C2 là HTTPS tới domain của Google |
| **Tác động Dữ liệu (Data Impact)** | Nghiêm trọng | Toàn quyền đọc Gmail, Drive, Calendar, Contacts — toàn bộ dữ liệu kinh doanh của người dùng bị lộ |
| **Độ Bền của Xâm phạm (Persistence)** | Rất cao | Refresh Token tồn tại độc lập với mật khẩu và MFA; thay đổi mật khẩu không thu hồi được quyền truy cập |
| **Phạm vi Ảnh hưởng (Blast Radius)** | Cao | Mỗi máy trạm bị xâm phạm có thể bị khai thác cho nhiều tài khoản Gmail khác nhau trong cùng profile trình duyệt |
| **Ngưỡng Kỹ thuật Tấn công (Attacker Skill)** | Cao | Đòi hỏi khả năng phát triển công cụ .NET tùy biến, hiểu sâu về Chrome DevTools Protocol và luồng OAuth |
| **Khả năng Scale (Scalability)** | Cao | Automation hoàn toàn — một lần triển khai Umbrij có thể xử lý nhiều profile và tài khoản song song |

## **IOC & Artifacts**

### **Host-based Indicators**

*   **Scheduled Task đáng ngờ:**
    
    *   Tên Task: `KasperskyEndpointSecurityEDRAvp`
        
    *   Đường dẫn thực thi: Chỉ đến các thư mục chứa tệp binary hợp pháp bị lạm dụng (`BDSubWiz.exe`, `VSTestVideoRecorder.exe`, `GoogleDesktop.exe`) nằm cùng với tệp tin DLL độc hại không có chữ ký số.
        
*   **Đường dẫn thư mục sao lưu profile:**
    
    *   `%LOCALAPPDATA%\Google\Chrome\BackupFiles\`
        
    *   `%LOCALAPPDATA%\Microsoft\Edge\BackupFiles\`
        
*   **Đầu ra file log của Umbrij:**
    
    *   Kiểm tra các file log dạng văn bản được sinh ra trong các thư mục ứng dụng tạm thời của user chứa lịch trình hoạt động và chuỗi mã OAuth thu thập được.
        

### **Network Indicators**

*   **Hành vi tiến trình:**
    
    *   Tiến trình `chrome.exe` hoặc `msedge.exe` chạy ngầm (headless) có chứa tham số dòng lệnh gỡ lỗi: `--remote-debugging-port=`
        
    *   Tiến trình trình duyệt được khởi chạy từ quyền hạn nhân bản của `explorer.exe` nhưng không có giao diện người dùng hiển thị trên desktop.
        

### **Malicious files**

*   1AB58838E5790EFB22F2D35AB98C0B7D             
    
*   A7D7D6C4C3F227F7117261C63B9E23A9            
    
*   3D3A621F852C42D97FD7260681E42508           
    
*   3432DD9AC0DF80EF86EB80BD080F839B          
    
*   22AAEB4946BA6D2F2E27FEB7DBB295DE          
    
*   F61FBFB7AA1CD5DC8F70B055B51563E2           
    
*   F169D6D172DFB775895A5E2B1540C854     
    
*   9F5F2F0FB0A7F5AA9F16B9A7B6DAD89F
    
*   28CB7B261F4EB97E8A4B3B0D32F8DEF1
    
*   BAE82A15D1DBFB024617B9B56A8E5F66
    

## **MITRE ATT&CK Mapping**

| **Tactic** | **Technique ID** | **Technique Name** | **Mô tả trong Chiến dịch** |
| --- | --- | --- | --- |
| **Persistence** / **Privilege Escalation** | T1053.005 | Scheduled Task/Job: Scheduled Task | Sử dụng Scheduled Task `KasperskyEndpointSecurityEDRAvp` để duy trì sự hiện diện và tự động chạy mã độc. |
| **Defense Evasion** | T1574.002 | Hijack Execution Flow: DLL Side-Loading | Sử dụng các tệp tin hợp pháp của Bitdefender, Visual Studio, Google Desktop để sideload DLL độc hại của Umbrij. |
| **Defense Evasion** | T1134 | Access Token Manipulation | Nhân bản token bảo mật từ tiến trình `explorer.exe` để mạo danh người dùng hợp pháp. |
| **Credential Access** | T1539 | Steal Web Session Cookie | Sao chép các tệp tin lưu trữ cookie và session của Chrome/Edge vào thư mục `BackupFiles`. |
| **Credential Access** / **Defense Evasion** | T1556.007 | Modify Authentication Process: Hybrid Identity | Lạm dụng luồng xác thực OAuth 2.0 để đăng ký ứng dụng bên thứ ba (Shadow Token) giả mạo. |
| **Collection** | T1114.002 | Email Collection: Office 365/Google Workspace Mailbox | Thu thập email trực tiếp từ API của Google Workspace thông qua access token đã chiếm đoạt. |

## **Nhận Định Chuyên Gia**

Kỹ thuật **Shadow Token via Remote Debug (STRD)** do nhóm ToddyCat áp dụng trong chiến dịch này phản ánh một xu hướng nguy hiểm trong thế giới an ninh mạng: **Sự bất lực của cơ chế MFA truyền thống trước các cuộc tấn công cấp độ API.**

Kẻ tấn công hiểu rằng các doanh nghiệp hiện nay hầu hết đã triển khai MFA trên email. Do đó, thay vì cố gắng vượt qua lớp bảo vệ này từ bên ngoài, chúng chuyển hướng tấn công vào bên trong hệ thống—nơi phiên đăng nhập đã được người dùng xác thực thành công. Bằng cách sử dụng giao thức debug có sẵn trên các trình duyệt Chromium (một tính năng thiết kế cho lập trình viên), kẻ tấn công biến chính trình duyệt hợp pháp trên máy nạn nhân thành công cụ thực hiện yêu cầu cấp quyền.

Việc lạm dụng Client ID của các công cụ di trú chính chủ của Google (`GWMME`/`GWSMO`) là một nước đi rất khôn ngoan. Các công cụ này vốn có quyền hạn mặc định rất lớn để đồng bộ hóa dữ liệu. Do đó, việc chúng yêu cầu toàn quyền đọc Gmail hay Drive sẽ không khiến hệ thống giám sát của Google gắn cờ cảnh báo như đối với các ứng dụng lạ từ các nhà phát triển chưa được xác minh.

Đối với các tổ chức tại Việt Nam, đặc biệt là các doanh nghiệp đang dịch chuyển mạnh mẽ hạ tầng công nghệ thông tin lên Google Workspace, đây là một lời cảnh tỉnh lớn. An toàn thông tin không còn dừng lại ở việc áp dụng chính sách mật khẩu mạnh hay bắt buộc bật OTP. Nếu máy trạm của nhân viên bị thỏa hiệp ở mức độ cho phép thực thi mã độc cục bộ (sideloading), toàn bộ dữ liệu đám mây của doanh nghiệp đó cũng sẽ bị phơi nhiễm thông qua các kết nối API hợp pháp mà hệ thống phòng thủ vòng ngoài không thể ngăn chặn.

## **Khuyến Nghị**

### **Khẩn cấp (0-24h)**

1.  **Rà soát quyền ứng dụng liên kết (OAuth Grants):** Yêu cầu toàn bộ người dùng hoặc quản trị viên Google Workspace quét và thu hồi quyền của các ứng dụng sau nếu không có nhu cầu sử dụng thực tế:
    
    *   *Google Workspace Migration for Microsoft Outlook*
        
    *   *Google Workspace Sync for Microsoft Outlook*
        
    *   Đường dẫn kiểm tra nhanh dành cho người dùng cá nhân: [myaccount.google.com/connections](https://myaccount.google.com/connections)
        
2.  **Kiểm tra Scheduled Task bất thường:** Sử dụng PowerShell hoặc công cụ giám sát hệ thống quét và phát hiện các Scheduled Task có tên chứa cụm từ `KasperskyEndpointSecurity` nhưng trỏ tới các thư mục không phải của Kaspersky (ví dụ: thư mục Temp, Local AppData của user).
    

### **Ngắn hạn (1-7 ngày)**

1.  **Xây dựng luật phát hiện trên EDR/SIEM:**
    
    *   Cảnh báo khi có tiến trình trình duyệt (`chrome.exe`, `msedge.exe`) khởi chạy với tham số `--remote-debugging-port` kết hợp với tham số `--headless` hoặc trỏ dữ liệu người dùng (`--user-data-dir`) vào các đường dẫn tạm thời như `BackupFiles`.
        
    *   Giám sát hành vi sao chép hàng loạt tệp tin cấu hình nhạy cảm của trình duyệt từ thư mục `User Data` sang các thư mục con khác.
        
2.  **Cấu hình chính sách API trên Google Workspace Console:** Chỉ cho phép các ứng dụng OAuth được cấu hình sẵn trong danh sách tin cậy (Trustlist) của tổ chức được phép kết nối với API của hệ thống. Chặn quyền tự ý liên kết ứng dụng bên thứ ba của nhân viên mà không qua phê duyệt của quản trị viên (Admin Approval).
    

### **Dài hạn**

1.  **Áp dụng mô hình Zero Trust trên Endpoint:**
    
    *   Ngăn chặn việc thực thi các tệp tin không rõ nguồn gốc từ các thư mục tạm thời (`AppData\Local\Temp`, `Downloads`).
        
    *   Kiểm soát chặt chẽ cơ chế đăng ký và thực thi của Scheduled Task thông qua chính sách nhóm (GPO) hoặc giải pháp Endpoint Protection.
        
2.  **Đào tạo nâng cao nhận thức bảo mật:** Tăng cường các chiến dịch diễn tập phishing phòng ngừa nhân viên click mở các tệp tin đính kèm chứa mã độc loader thực hiện hành vi DLL side-loading.
    

## Tham Khảo

[ToddyCat-Linked Umbrij Malware Abuses OAuth to Access Gmail via Google API](https://thehackernews.com/2026/07/toddycat-linked-umbrij-malware-abuses.html)

[How the ToddyCat APT group gains access to Gmail accounts | Securelist](https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/)

[ToddyCat’s Umbrij Malware Hijacks Gmail Access Using OAuth Tokens Instead of Passwords | SecureReading ToddyCat Umbrij Malware Uses OAuth to Compromise Gmail Accounts Through Google API](https://securereading.com/toddycat-umbrij-gmail-oauth-malware-google-api/)
