Die APT-Gruppe ToddyCat hat ihren Fokus auf den Diebstahl von Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken verlagert.Forscher von Kaspersky Labs haben festgestellt, dass sich die APT-Gruppe (Advanced Persistent Threat) ToddyCat jetzt darauf spezialisiert hat, Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken zu stehlen.Demnachhat die Hackerbande ihr Toolkit Ende 2024 und Anfang 2025 weiterentwickelt, um nicht nur wie bisher Browser-Anmeldedaten zu stehlen. Zuvor hatte die Gruppe hochkarätige Organisationen in Asien und Europa ins Visier genommen, indem sie sich in mit dem Internet verbundene Microsoft Exchange-Server hackte.In dem kürzlich veröffentlichten Forschungsbericht beschreibt Kaspersky, wie die APT-Gruppe Unternehmensumgebungen (lokale Exchange- oder Cloud-basierte E-Mail-Systeme) kompromittiert. Anschließend setzt sie clevere Post-Exploit-Methoden ein, um die E-Mail-Korrespondenz zu exfiltrieren, ohne die üblichen Alarme auszulösen. Ziel der Angreifer ist es dabei, sich Zugriff auf tatsächliche E-Mail-Daten verschaffen. ToddyCat setzt dazu ein Tool namens TCSectorCopy ein ein C++-Dienstprogramm, das die Festplatte als schreibgeschütztes Gerät öffnet und die Offline-Speicherdateien (OST) von Outlook kopiert, wobei alle Dateisperrmechanismen, die Outlook möglicherweise durchsetzt, umgangen werden.Sobald die OST-Dateien extrahiert sind, werden sie in XstReader eingespeist einen Open-Source-Viewer, der OST/PST-E-Mail-Archive analysieren kann. Dadurch erhalten die Angreifer Zugriff auf den gesamten Inhalt der Unternehmenskorrespondenz. In Umgebungen, die Cloud-E-Mail wie Microsoft 365 verwenden, versucht das neue ToddyCat, OAuth 2.0-Zugriffstoken zu sammeln.Wie Kaspersky erklärt, können Angreifer OAuth 2.0-Token aus dem Browser eines Opfers extrahieren und so auf Unternehmens-E-Mails zugreifen, selbst wenn sie sich nicht mehr im kompromittierten Netzwerk befinden.’In mindestens einem Fall blockierte Sicherheitssoftware den Versuch, Tokens zu extrahieren”, so die Security-Spezialisten. ‘Unbeeindruckt davon, wechselten die Angreifer zu einem Memory-Dump-Tool (ProcDump von Sysinternals), um die Tokens direkt aus dem laufenden Outlook-Prozess zu extrahieren.”Der Bericht zeigt eine Reihe von bösartigen Dateinamen, Pfaden und Verzeichnissen als Indikatoren für Kompromittierungen (IOCs), um die Erkennungsbemühungen zu unterstützen. Die Verlagerung von ToddyCat hin zum E-Mail-Diebstahl passt zu einem Trend, der bereits in früheren Kampagnen zu beobachten war: maßgeschneiderte Backdoors, verdeckte Traffic-Tunnel und langfristige Spionagetaktiken gegen Regierungs- und Militärnetzwerke in Europa und Asien.
Von Browsern zu Domänencontrollern: Bereits zwischen Mai und Juni 2024 hatten Kaspersky-Forscher eine neue Version des ToddyCat-Toolkits entdeckt, die in PowerShell geschrieben ist und direkt von Domänencontrollern unter privilegierten Benutzerkonten aus arbeitet.Mit diesem Update wurde der Umfang des Angriffs von Chrome und Edge auf Firefox-Browserdaten ausgeweitet. Das Skript verwendete eine geplante ‘Run”-Aufgabe, erstellte ein lokales Verzeichnis und stellte dann (über SMB) eine Verbindung zu Benutzer-Host-Verzeichnissen im gesamten Netzwerk her. Nach der Verbindung kopierte es Browser-Dateien (Cookies, gespeicherte Anmeldedaten, Verlauf usw.) für die Offline-Analyse.Durch die Erfassung von Rohdaten des Browsers, einschließlich Windows-DPAPI-Verschlüsselungsschlüsseln, konnte ToddyCat gespeicherte Anmeldedaten entschlüsseln und diese möglicherweise wiederverwenden, um den Zugriff zu erweitern.Zudem gab es eine Kampagne im April 2025, bei der die Gruppe eine Schwachstelle in der Antiviren-Engine von ESET ausnutzte, um bösartige Module über die vertrauenswürdigen Prozesse des Produkts auszuführen. (jm)
First seen on csoonline.com
Jump to article: https://www.csoonline.com/article/4097406/neues-toddycat-toolkit-greift-outlook-und-microsoft-token-an.html
