Хакеры ToddyCat обновили арсенал для тотального взлома Outlook и Microsoft 365

Группировка APT ToddyCat, активная с 2020 года и специализирующаяся на атаках организаций в Европе и Азии, внедрила новые инструменты для кражи корпоративных данных. Согласно техническому отчету «Лаборатории Касперского», злоумышленники сосредоточили усилия на хищении электронной почты и получении токенов доступа к облачным сервисам Microsoft 365. Хакеры постоянно совершенствуют свои методы, стремясь скрыть активность и обойти современные ограничения безопасности.
Хакеры ToddyCat обновили арсенал для тотального взлома Outlook и Microsoft 365
Изображение носит иллюстративный характер

Одним из ключевых обновлений стал стилер TomBerBil, который используется для удержания доступа в системе и кражи куки-файлов, истории браузеров и учетных данных. Вредоносная программа атакует Google Chrome, Microsoft Edge, а теперь обладает возможностями для сбора данных из Mozilla Firefox. В период с мая по июнь 2024 года была зафиксирована новая версия стилера, написанная на PowerShell, которая заменила предыдущие варианты на языках C++ и C.

Новый PowerShell-вариант TomBerBil запускается на контроллерах домена от имени привилегированного пользователя. Он получает доступ к файлам браузера через общие сетевые ресурсы, используя протокол SMB, и выполняется через планировщик задач. Существенно изменилась механика работы с шифрованием DPAPI: если ранее мастер-ключ расшифровывался в текущей сессии пользователя на хосте, то серверная версия копирует файлы с ключами шифрования, SID пользователя и пароль, что позволяет атакующим расшифровывать данные локально в режиме офлайн.

Для хищения локальных хранилищ Microsoft Outlook группировка разработала специализированный инструмент TCSectorCopy, имеющий внутреннее имя xCopy.exe. Утилита написана на C++ и нацелена на файлы формата OST. Основная задача этого инструмента — обход файловых ограничений и блокировок, которые не позволяют получить доступ к данным при запущенном почтовом клиенте Outlook.

TCSectorCopy работает путем открытия диска как устройства только для чтения и посекторного копирования содержимого файлов. Такой метод позволяет незаметно извлекать данные без прерывания работы пользователя. После успешной кражи OST-файлов злоумышленники используют инструмент с открытым исходным кодом XstReader для извлечения и просмотра электронной корреспонденции.

Атаки на облачную инфраструктуру осуществляются с помощью open-source утилиты SharpTokenFinder, написанной на C. Программа сканирует процессы приложений Microsoft 365, выискивая в памяти аутентификационные токены в открытом виде (JSON Web Tokens или JWT). Целью является получение токенов OAuth 2.0, что дает хакерам возможность доступа к корпоративной почте извне, не полагаясь на зараженную инфраструктуру.

В случаях, когда защитное программное обеспечение блокирует работу SharpTokenFinder, ToddyCat использует легитимную утилиту ProcDump из пакета Sysinternals. Злоумышленники применяют её со специфическими аргументами для ручного создания дампа памяти процесса Outlook.exe. Кроме того, для сохранения доступа и кражи данных в арсенале группы присутствует инструмент под названием Samurai.

Ранее, в апреле 2024 года, группировка успешно эксплуатировала уязвимость в ESET Command Line Scanner, зарегистрированную под идентификатором CVE-2024-11859 с оценкой CVSS 6.8. Это позволило хакерам доставить в целевые системы ранее незадокументированное вредоносное ПО TCESB, что еще раз подтверждает тенденцию ToddyCat к постоянной эволюции и поиску новых векторов атак.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка