Группировка APT ToddyCat, активная с 2020 года и специализирующаяся на атаках организаций в Европе и Азии, внедрила новые инструменты для кражи корпоративных данных. Согласно техническому отчету «Лаборатории Касперского», злоумышленники сосредоточили усилия на хищении электронной почты и получении токенов доступа к облачным сервисам Microsoft 365. Хакеры постоянно совершенствуют свои методы, стремясь скрыть активность и обойти современные ограничения безопасности.
Одним из ключевых обновлений стал стилер TomBerBil, который используется для удержания доступа в системе и кражи куки-файлов, истории браузеров и учетных данных. Вредоносная программа атакует Google Chrome, Microsoft Edge, а теперь обладает возможностями для сбора данных из Mozilla Firefox. В период с мая по июнь 2024 года была зафиксирована новая версия стилера, написанная на PowerShell, которая заменила предыдущие варианты на языках C++ и C.
Новый PowerShell-вариант TomBerBil запускается на контроллерах домена от имени привилегированного пользователя. Он получает доступ к файлам браузера через общие сетевые ресурсы, используя протокол SMB, и выполняется через планировщик задач. Существенно изменилась механика работы с шифрованием DPAPI: если ранее мастер-ключ расшифровывался в текущей сессии пользователя на хосте, то серверная версия копирует файлы с ключами шифрования, SID пользователя и пароль, что позволяет атакующим расшифровывать данные локально в режиме офлайн.
Для хищения локальных хранилищ Microsoft Outlook группировка разработала специализированный инструмент TCSectorCopy, имеющий внутреннее имя
TCSectorCopy работает путем открытия диска как устройства только для чтения и посекторного копирования содержимого файлов. Такой метод позволяет незаметно извлекать данные без прерывания работы пользователя. После успешной кражи OST-файлов злоумышленники используют инструмент с открытым исходным кодом XstReader для извлечения и просмотра электронной корреспонденции.
Атаки на облачную инфраструктуру осуществляются с помощью open-source утилиты SharpTokenFinder, написанной на C. Программа сканирует процессы приложений Microsoft 365, выискивая в памяти аутентификационные токены в открытом виде (JSON Web Tokens или JWT). Целью является получение токенов OAuth 2.0, что дает хакерам возможность доступа к корпоративной почте извне, не полагаясь на зараженную инфраструктуру.
В случаях, когда защитное программное обеспечение блокирует работу SharpTokenFinder, ToddyCat использует легитимную утилиту ProcDump из пакета Sysinternals. Злоумышленники применяют её со специфическими аргументами для ручного создания дампа памяти процесса
Ранее, в апреле 2024 года, группировка успешно эксплуатировала уязвимость в ESET Command Line Scanner, зарегистрированную под идентификатором CVE-2024-11859 с оценкой CVSS 6.8. Это позволило хакерам доставить в целевые системы ранее незадокументированное вредоносное ПО TCESB, что еще раз подтверждает тенденцию ToddyCat к постоянной эволюции и поиску новых векторов атак.
Изображение носит иллюстративный характер
Одним из ключевых обновлений стал стилер TomBerBil, который используется для удержания доступа в системе и кражи куки-файлов, истории браузеров и учетных данных. Вредоносная программа атакует Google Chrome, Microsoft Edge, а теперь обладает возможностями для сбора данных из Mozilla Firefox. В период с мая по июнь 2024 года была зафиксирована новая версия стилера, написанная на PowerShell, которая заменила предыдущие варианты на языках C++ и C.
Новый PowerShell-вариант TomBerBil запускается на контроллерах домена от имени привилегированного пользователя. Он получает доступ к файлам браузера через общие сетевые ресурсы, используя протокол SMB, и выполняется через планировщик задач. Существенно изменилась механика работы с шифрованием DPAPI: если ранее мастер-ключ расшифровывался в текущей сессии пользователя на хосте, то серверная версия копирует файлы с ключами шифрования, SID пользователя и пароль, что позволяет атакующим расшифровывать данные локально в режиме офлайн.
Для хищения локальных хранилищ Microsoft Outlook группировка разработала специализированный инструмент TCSectorCopy, имеющий внутреннее имя
xCopy.exe. Утилита написана на C++ и нацелена на файлы формата OST. Основная задача этого инструмента — обход файловых ограничений и блокировок, которые не позволяют получить доступ к данным при запущенном почтовом клиенте Outlook. TCSectorCopy работает путем открытия диска как устройства только для чтения и посекторного копирования содержимого файлов. Такой метод позволяет незаметно извлекать данные без прерывания работы пользователя. После успешной кражи OST-файлов злоумышленники используют инструмент с открытым исходным кодом XstReader для извлечения и просмотра электронной корреспонденции.
Атаки на облачную инфраструктуру осуществляются с помощью open-source утилиты SharpTokenFinder, написанной на C. Программа сканирует процессы приложений Microsoft 365, выискивая в памяти аутентификационные токены в открытом виде (JSON Web Tokens или JWT). Целью является получение токенов OAuth 2.0, что дает хакерам возможность доступа к корпоративной почте извне, не полагаясь на зараженную инфраструктуру.
В случаях, когда защитное программное обеспечение блокирует работу SharpTokenFinder, ToddyCat использует легитимную утилиту ProcDump из пакета Sysinternals. Злоумышленники применяют её со специфическими аргументами для ручного создания дампа памяти процесса
Outlook.exe. Кроме того, для сохранения доступа и кражи данных в арсенале группы присутствует инструмент под названием Samurai. Ранее, в апреле 2024 года, группировка успешно эксплуатировала уязвимость в ESET Command Line Scanner, зарегистрированную под идентификатором CVE-2024-11859 с оценкой CVSS 6.8. Это позволило хакерам доставить в целевые системы ранее незадокументированное вредоносное ПО TCESB, что еще раз подтверждает тенденцию ToddyCat к постоянной эволюции и поиску новых векторов атак.
