C
月内に
APTグループ「ToddyCat」が、Google APIを利用してクラウドメールアカウントへのアクセスを自動化する新しいツールを開発したこと
📌 一言でいうと
APTグループ「ToddyCat」が、Google APIを利用してクラウドメールアカウントへのアクセスを自動化する新しいツールを開発したことが判明しました。この攻撃はDLLサイドローディングを用いて検知を回避し、ブラウザの起動や認可コードの取得を通じて、企業の機密メールへのアクセスを試みます。従来のEDR/EPPによる検知を回避するための高度な自動化が図られている点が特徴です。
🔍該当判定
- Google Workspace (Gmail) を業務で利用している
- Google API を利用した外部連携アプリや自社開発ツールを導入している
- PCに EPP/EDR(ウイルス対策ソフトの高度版)を導入していない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Google Workspaceのサードパーティ製アプリによるアクセス権限を定期的に監査し、不審なアプリを削除すること。2. DLLサイドローディングを検知・防止できるエンドポイントセキュリティ設定の強化。3. 多要素認証 (MFA) の徹底と、不審なログイン試行の監視。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】APTグループ ToddyCat によるGoogle API悪用攻撃について
お疲れさまです。ToddyCatによる新手法に関する情報共有です。
■ 概要
APTグループ ToddyCatが、Google APIを利用してクラウドメールへのアクセスを自動化するツールを導入しました。DLLサイドローディングを用いてセキュリティ製品を回避し、認可コードを奪取してメールデータを窃取します。
■ 影響範囲
- Google Workspace (Gmail) を利用している組織
■ 対応手順
1. Google管理コンソールにて、不審なサードパーティ製アプリへのAPIアクセス権限が付与されていないか確認してください。
2. エンドポイントにおいて、不審なDLLのロードや、予期しないブラウザプロセスの起動がないかログを監視してください。
3. ユーザーに対し、不審な認可リクエスト(OAuth同意画面)が表示された場合に報告するよう周知してください。
■ 参考情報
- Kaspersky Securelist: ToddyCat: your hidden email assistant. Part 2
対応優先度: 中
対応期限: 速やかに確認
お疲れさまです。ToddyCatによる新手法に関する情報共有です。
■ 概要
APTグループ ToddyCatが、Google APIを利用してクラウドメールへのアクセスを自動化するツールを導入しました。DLLサイドローディングを用いてセキュリティ製品を回避し、認可コードを奪取してメールデータを窃取します。
■ 影響範囲
- Google Workspace (Gmail) を利用している組織
■ 対応手順
1. Google管理コンソールにて、不審なサードパーティ製アプリへのAPIアクセス権限が付与されていないか確認してください。
2. エンドポイントにおいて、不審なDLLのロードや、予期しないブラウザプロセスの起動がないかログを監視してください。
3. ユーザーに対し、不審な認可リクエスト(OAuth同意画面)が表示された場合に報告するよう周知してください。
■ 参考情報
- Kaspersky Securelist: ToddyCat: your hidden email assistant. Part 2
対応優先度: 中
対応期限: 速やかに確認
Subject: [Intel] ToddyCat APT Group targeting Google API for Email Access
Dear Team,
We are sharing intelligence regarding a new campaign by the ToddyCat APT group.
■ Overview
ToddyCat has developed a tool to automate the theft of cloud email data via the Google API. The attack employs DLL sideloading to bypass EDR/EPP solutions and automates the acquisition of authorization codes to gain unauthorized access to corporate correspondence.
■ Scope
- Organizations utilizing Google Workspace (Gmail).
■ Mitigation Steps
1. Audit third-party application permissions in the Google Admin Console to identify and revoke unauthorized API access.
2. Monitor endpoint logs for suspicious DLL sideloading activities and unexpected browser process executions.
3. Educate users to report unexpected OAuth consent prompts.
■ Reference
- Kaspersky Securelist: ToddyCat: your hidden email assistant. Part 2
Priority: Medium
Deadline: Immediate review
Dear Team,
We are sharing intelligence regarding a new campaign by the ToddyCat APT group.
■ Overview
ToddyCat has developed a tool to automate the theft of cloud email data via the Google API. The attack employs DLL sideloading to bypass EDR/EPP solutions and automates the acquisition of authorization codes to gain unauthorized access to corporate correspondence.
■ Scope
- Organizations utilizing Google Workspace (Gmail).
■ Mitigation Steps
1. Audit third-party application permissions in the Google Admin Console to identify and revoke unauthorized API access.
2. Monitor endpoint logs for suspicious DLL sideloading activities and unexpected browser process executions.
3. Educate users to report unexpected OAuth consent prompts.
■ Reference
- Kaspersky Securelist: ToddyCat: your hidden email assistant. Part 2
Priority: Medium
Deadline: Immediate review