De bedreigingsacteur bekend als ToddyCat Er is waargenomen dat nieuwe methoden worden toegepast om toegang te krijgen tot zakelijke e-mailgegevens van doelbedrijven, waaronder het gebruik van een aangepaste tool genaamd TCSectorCopy.
“Deze aanval stelt hen in staat tokens te verkrijgen voor het OAuth 2.0-autorisatieprotocol met behulp van de browser van de gebruiker, die buiten de perimeter van de gecompromitteerde infrastructuur kunnen worden gebruikt om toegang te krijgen tot bedrijfsmail”, zei Kaspersky in een technische storing.
ToddyCat, dat sinds 2020 actief is, heeft een trackrecord in het targeten van verschillende organisaties in Europa en Azië met verschillende tools, Samurai en TomBerBil, om toegang te behouden en cookies en inloggegevens te stelen van webbrowsers zoals Google Chrome en Microsoft Edge.
Eerder in april werd de hackgroep toegeschreven aan het misbruiken van een beveiligingsfout in de ESET Command Line Scanner (CVE-2024-11859, CVSS-score: 6,8) om voorheen ongedocumenteerde malware met de codenaam TCESB af te leveren.
Kaspersky zei dat het een PowerShell-variant van TomBerBil heeft gedetecteerd (in tegenstelling tot de eerder gemarkeerde C++- en C#-versies) bij aanvallen die plaatsvonden tussen mei en juni 2024, die mogelijkheden biedt om gegevens uit Mozilla Firefox te extraheren. Een opvallend kenmerk van deze versie is dat deze draait op domeincontrollers van een bevoorrechte gebruiker en toegang heeft tot browserbestanden via gedeelde netwerkbronnen met behulp van het SMB-protocol.
De malware, zo voegde het bedrijf toe, werd gelanceerd door middel van een geplande taak die een PowerShell-opdracht uitvoerde. Het zoekt met name naar browsergeschiedenis, cookies en opgeslagen inloggegevens op de externe host via SMB. Terwijl de gekopieerde bestanden met de informatie worden gecodeerd met behulp van de Windows Data Protection API (DPAPI), is TomBerBil uitgerust om de coderingssleutel vast te leggen die nodig is om de gegevens te decoderen.
“De vorige versie van TomBerBil draaide op de host en kopieerde het gebruikerstoken. Als resultaat werd DPAPI gebruikt om de hoofdsleutel in de huidige sessie van de gebruiker te decoderen, en vervolgens de bestanden zelf”, aldus onderzoekers. “In de nieuwere serverversie kopieert TomBerBil bestanden met gebruikerscoderingssleutels die door DPAPI worden gebruikt. Met behulp van deze sleutels, evenals de SID en het wachtwoord van de gebruiker, kunnen aanvallers alle gekopieerde bestanden lokaal ontsleutelen.”
Er is ook vastgesteld dat de bedreigingsactoren toegang hebben tot zakelijke e-mails die zijn opgeslagen in de lokale Microsoft Outlook-opslag in de vorm van OST-bestanden (afkorting van Offline Storage Table) met behulp van TCSectorCopy (“xCopy.exe”), waarbij ze de beperkingen omzeilen die de toegang tot dergelijke bestanden beperken wanneer de applicatie actief is.
TCSectorCopy, geschreven in C++, accepteert als invoer een te kopiëren bestand (in dit geval OST-bestanden) en gaat vervolgens verder met het openen van de schijf als een alleen-lezen apparaat en kopieert de bestandsinhoud achtereenvolgens sector voor sector. Zodra de OST-bestanden zijn geschreven naar een pad naar keuze van de aanvaller, wordt de inhoud van de elektronische correspondentie geëxtraheerd met behulp van XstReader, een open-sourceviewer voor Outlook OST- en PST-bestanden.
Een andere tactiek die ToddyCat hanteert, betreft pogingen om toegangstokens rechtstreeks uit het geheugen te verkrijgen in gevallen waarin slachtofferorganisaties de Microsoft 365-cloudservice gebruikten. De JSON-webtokens (JWT’s) worden verkregen via een open-source C#-tool met de naam SharpTokenFinder, die Microsoft 365-toepassingen opsomt voor authenticatietokens in platte tekst.
Maar de bedreigingsacteur zou te maken hebben gehad met een tegenslag in ten minste één onderzocht incident nadat beveiligingssoftware die op het systeem was geïnstalleerd de poging van SharpTokenFinder om het Outlook.exe-proces te dumpen blokkeerde. Om deze beperking te omzeilen, gebruikte de operator de tool ProcDump uit het Sysinternals-pakket met specifieke argumenten om een geheugendump van het Outlook-proces te maken.
“De ToddyCat APT-groep ontwikkelt voortdurend zijn technieken en is op zoek naar technieken die activiteiten verbergen om toegang te krijgen tot bedrijfscorrespondentie binnen de gecompromitteerde infrastructuur”, aldus Kaspersky.
