IB Photography – shutterstock.com
Forscher von Kaspersky Labs haben festgestellt, dass sich die APT-Gruppe (Advanced Persistent Threat) ToddyCat jetzt darauf spezialisiert hat, Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken zu stehlen.
Demnachhat die Hackerbande ihr Toolkit Ende 2024 und Anfang 2025 weiterentwickelt, um nicht nur wie bisher Browser-Anmeldedaten zu stehlen. Zuvor hatte die Gruppe hochkarätige Organisationen in Asien und Europa ins Visier genommen, indem sie sich in mit dem Internet verbundene Microsoft Exchange-Server hackte.
In dem kürzlich veröffentlichten Forschungsbericht beschreibt Kaspersky, wie die APT-Gruppe Unternehmensumgebungen (lokale Exchange- oder Cloud-basierte E-Mail-Systeme) kompromittiert. Anschließend setzt sie clevere Post-Exploit-Methoden ein, um die E-Mail-Korrespondenz zu exfiltrieren, ohne die üblichen Alarme auszulösen.
Outlook im Fadenkreuz
Ziel der Angreifer ist es dabei, sich Zugriff auf tatsächliche E-Mail-Daten verschaffen. ToddyCat setzt dazu ein Tool namens TCSectorCopy ein – ein C++-Dienstprogramm, das die Festplatte als schreibgeschütztes Gerät öffnet und die Offline-Speicherdateien (OST) von Outlook kopiert, wobei alle Dateisperrmechanismen, die Outlook möglicherweise durchsetzt, umgangen werden.
Sobald die OST-Dateien extrahiert sind, werden sie in XstReader eingespeist – einen Open-Source-Viewer, der OST/PST-E-Mail-Archive analysieren kann. Dadurch erhalten die Angreifer Zugriff auf den gesamten Inhalt der Unternehmenskorrespondenz. In Umgebungen, die Cloud-E-Mail wie Microsoft 365 verwenden, versucht das neue ToddyCat, OAuth 2.0-Zugriffstoken zu sammeln.
Wie Kaspersky erklärt, können Angreifer OAuth 2.0-Token aus dem Browser eines Opfers extrahieren und so auf Unternehmens-E-Mails zugreifen, selbst wenn sie sich nicht mehr im kompromittierten Netzwerk befinden.
„In mindestens einem Fall blockierte Sicherheitssoftware den Versuch, Tokens zu extrahieren“, so die Security-Spezialisten. „Unbeeindruckt davon, wechselten die Angreifer zu einem Memory-Dump-Tool (ProcDump von Sysinternals), um die Tokens direkt aus dem laufenden Outlook-Prozess zu extrahieren.“
Der Bericht zeigt eine Reihe von bösartigen Dateinamen, Pfaden und Verzeichnissen als Indikatoren für Kompromittierungen (IOCs), um die Erkennungsbemühungen zu unterstützen. Die Verlagerung von ToddyCat hin zum E-Mail-Diebstahl passt zu einem Trend, der bereits in früheren Kampagnen zu beobachten war: maßgeschneiderte Backdoors, verdeckte Traffic-Tunnel und langfristige Spionagetaktiken gegen Regierungs- und Militärnetzwerke in Europa und Asien.
Von Browsern zu Domänencontrollern
Bereits zwischen Mai und Juni 2024 hatten Kaspersky-Forscher eine neue Version des ToddyCat-Toolkits entdeckt, die in PowerShell geschrieben ist und direkt von Domänencontrollern unter privilegierten Benutzerkonten aus arbeitet.
Mit diesem Update wurde der Umfang des Angriffs von Chrome und Edge auf Firefox-Browserdaten ausgeweitet. Das Skript verwendete eine geplante „Run“-Aufgabe, erstellte ein lokales Verzeichnis und stellte dann (über SMB) eine Verbindung zu Benutzer-Host-Verzeichnissen im gesamten Netzwerk her. Nach der Verbindung kopierte es Browser-Dateien (Cookies, gespeicherte Anmeldedaten, Verlauf usw.) für die Offline-Analyse.
Durch die Erfassung von Rohdaten des Browsers, einschließlich Windows-DPAPI-Verschlüsselungsschlüsseln, konnte ToddyCat gespeicherte Anmeldedaten entschlüsseln und diese möglicherweise wiederverwenden, um den Zugriff zu erweitern.
Zudem gab es eine Kampagne im April 2025, bei der die Gruppe eine Schwachstelle in der Antiviren-Engine von ESET ausnutzte, um bösartige Module über die vertrauenswürdigen Prozesse des Produkts auszuführen. (jm)
No Responses