{"id":5972,"date":"2025-11-27T12:52:09","date_gmt":"2025-11-27T12:52:09","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5972"},"modified":"2025-11-27T12:52:09","modified_gmt":"2025-11-27T12:52:09","slug":"neues-toddycat-toolkit-greift-outlook-und-microsoft-token-an","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5972","title":{"rendered":"Neues ToddyCat-Toolkit greift Outlook und Microsoft-Token an"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?quality=50&strip=all 5760w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Die APT-Gruppe ToddyCat hat ihren Fokus auf den Diebstahl von Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken verlagert.\n

IB Photography \u2013 shutterstock.com<\/p>\n<\/div>\n

Forscher von Kaspersky Labs haben festgestellt, dass sich die APT-Gruppe (Advanced Persistent Threat) ToddyCat<\/a> jetzt darauf spezialisiert hat, Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken zu stehlen.<\/p>\n

Demnachhat die Hackerbande ihr Toolkit Ende 2024 und Anfang 2025 weiterentwickelt, um nicht nur wie bisher Browser-Anmeldedaten zu stehlen. Zuvor hatte die Gruppe hochkar\u00e4tige Organisationen in Asien und Europa ins Visier genommen, indem sie sich in mit dem Internet verbundene Microsoft Exchange-Server hackte.<\/p>\n

In dem k\u00fcrzlich ver\u00f6ffentlichten Forschungsbericht<\/a> beschreibt Kaspersky, wie die APT-Gruppe Unternehmensumgebungen (lokale Exchange- oder Cloud-basierte E-Mail-Systeme) kompromittiert. Anschlie\u00dfend setzt sie clevere Post-Exploit-Methoden ein, um die E-Mail-Korrespondenz zu exfiltrieren, ohne die \u00fcblichen Alarme auszul\u00f6sen.<\/p>\n

Outlook im Fadenkreuz<\/h2>\n

Ziel der Angreifer ist es dabei, sich Zugriff auf tats\u00e4chliche E-Mail-Daten verschaffen. ToddyCat setzt dazu ein Tool namens TCSectorCopy ein \u2013 ein C++-Dienstprogramm, das die Festplatte als schreibgesch\u00fctztes Ger\u00e4t \u00f6ffnet und die Offline-Speicherdateien (OST) von Outlook kopiert, wobei alle Dateisperrmechanismen, die Outlook m\u00f6glicherweise durchsetzt, umgangen werden.<\/p>\n

Sobald die OST-Dateien extrahiert sind, werden sie in XstReader eingespeist \u2013 einen Open-Source-Viewer, der OST\/PST-E-Mail-Archive analysieren kann. Dadurch erhalten die Angreifer Zugriff auf den gesamten Inhalt der Unternehmenskorrespondenz. In Umgebungen, die Cloud-E-Mail wie Microsoft 365 verwenden, versucht das neue ToddyCat, OAuth 2.0-Zugriffstoken zu sammeln.<\/p>\n

Wie Kaspersky erkl\u00e4rt, k\u00f6nnen Angreifer OAuth 2.0-Token aus dem Browser eines Opfers extrahieren und so auf Unternehmens-E-Mails zugreifen, selbst wenn sie sich nicht mehr im kompromittierten Netzwerk befinden.<\/p>\n

\u201eIn mindestens einem Fall blockierte Sicherheitssoftware den Versuch, Tokens zu extrahieren\u201c, so die Security-Spezialisten. \u201eUnbeeindruckt davon, wechselten die Angreifer zu einem Memory-Dump-Tool (ProcDump von Sysinternals), um die Tokens direkt aus dem laufenden Outlook-Prozess zu extrahieren.\u201c<\/p>\n

Der Bericht zeigt eine Reihe von b\u00f6sartigen Dateinamen, Pfaden und Verzeichnissen als Indikatoren f\u00fcr Kompromittierungen (IOCs), um die Erkennungsbem\u00fchungen zu unterst\u00fctzen. Die Verlagerung von ToddyCat hin zum E-Mail-Diebstahl passt zu einem Trend, der bereits in fr\u00fcheren Kampagnen zu beobachten war: ma\u00dfgeschneiderte Backdoors, verdeckte Traffic-Tunnel und langfristige<\/a> Spionagetaktiken<\/a> gegen Regierungs- und Milit\u00e4rnetzwerke in Europa und Asien.<\/p>\n

Von Browsern zu Dom\u00e4nencontrollern<\/h2>\n

Bereits zwischen Mai und Juni 2024 hatten Kaspersky-Forscher eine neue Version des ToddyCat-Toolkits entdeckt, die in PowerShell geschrieben ist und direkt von Dom\u00e4nencontrollern unter privilegierten Benutzerkonten aus arbeitet.<\/p>\n

Mit diesem Update wurde der Umfang des Angriffs von Chrome und Edge auf Firefox-Browserdaten ausgeweitet. Das Skript verwendete eine geplante \u201eRun\u201c-Aufgabe, erstellte ein lokales Verzeichnis und stellte dann (\u00fcber SMB) eine Verbindung zu Benutzer-Host-Verzeichnissen im gesamten Netzwerk her. Nach der Verbindung kopierte es Browser-Dateien (Cookies, gespeicherte Anmeldedaten, Verlauf usw.) f\u00fcr die Offline-Analyse.<\/p>\n

Durch die Erfassung von Rohdaten des Browsers, einschlie\u00dflich Windows-DPAPI-Verschl\u00fcsselungsschl\u00fcsseln, konnte ToddyCat gespeicherte Anmeldedaten entschl\u00fcsseln und diese m\u00f6glicherweise wiederverwenden, um den Zugriff zu erweitern.<\/p>\n

Zudem gab es eine Kampagne <\/a>im April 2025, bei der die Gruppe eine Schwachstelle in der Antiviren-Engine von ESET ausnutzte, um b\u00f6sartige Module \u00fcber die vertrauensw\u00fcrdigen Prozesse des Produkts auszuf\u00fchren. (jm)<\/p>\n

<\/a><\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?quality=50&strip=all 5760w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/11\/shutterstock_2108335628.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Die APT-Gruppe ToddyCat hat ihren Fokus auf den Diebstahl von Outlook-E-Mail-Daten und Microsoft 365-Zugriffstoken verlagert. IB Photography \u2013 shutterstock.com Forscher von Kaspersky Labs haben festgestellt, dass sich […]<\/p>\n","protected":false},"author":0,"featured_media":5973,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5972"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5972"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5973"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}