Nhóm tin tặc ToddyCat đã được phát hiện áp dụng các phương pháp mới để truy cập dữ liệu email doanh nghiệp của các công ty mục tiêu, bao gồm việc sử dụng một công cụ tùy chỉnh có tên TCSectorCopy.
"Cuộc tấn công này cho phép chúng lấy các mã thông báo cho giao thức ủy quyền OAuth 2.0 bằng trình duyệt của người dùng, các mã này có thể được sử dụng bên ngoài hạ tầng bị xâm nhập để truy cập email công ty," Kaspersky cho biết trong một phân tích kỹ thuật.
ToddyCat, được đánh giá là hoạt động từ năm 2020, có tiền sử nhắm mục tiêu vào nhiều tổ chức khác nhau ở châu Âu và châu Á bằng nhiều công cụ khác nhau, Samurai và TomBerBil để duy trì quyền truy cập và đánh cắp cookies cũng như credentials từ các trình duyệt web như Google Chrome và Microsoft Edge.
Đầu tháng 4 này, nhóm tin tặc đã bị gán cho trách nhiệm khai thác lỗ hổng bảo mật trong ESET Command Line Scanner (CVE-2024-11859, điểm CVSS: 6.8) để phát tán một malware chưa từng được ghi nhận trước đây có tên mã TCESB.
Kaspersky cho biết họ đã phát hiện một biến thể PowerShell của TomBerBil (khác với các phiên bản C++ và C# đã được cảnh báo trước đó) trong các cuộc tấn công diễn ra từ tháng 5 đến tháng 6 năm 2024, phiên bản này có khả năng trích xuất dữ liệu từ Mozilla Firefox. Một tính năng đáng chú ý của phiên bản này là nó chạy trên domain controllers từ một người dùng có đặc quyền và có thể truy cập các tệp trình duyệt thông qua các tài nguyên mạng chia sẻ bằng giao thức SMB.
Malware, công ty cho biết thêm, được khởi chạy bằng một tác vụ theo lịch trình thực thi lệnh PowerShell. Cụ thể, nó tìm kiếm lịch sử trình duyệt, cookies và saved credentials trên remote host thông qua SMB. Mặc dù các tệp được sao chép chứa thông tin được mã hóa bằng Windows Data Protection API (DPAPI), TomBerBil được trang bị để lấy encryption key cần thiết để giải mã dữ liệu.
"Phiên bản TomBerBil trước đây chạy trên host và sao chép user token. Do đó, DPAPI được sử dụng để giải mã master key trong phiên hoạt động hiện tại của người dùng, và sau đó là chính các tệp," các nhà nghiên cứu cho biết. "Trong phiên bản server mới hơn, TomBerBil sao chép các tệp chứa user encryption keys được sử dụng bởi DPAPI. Sử dụng các key này, cùng với SID và password của người dùng, kẻ tấn công có thể giải mã tất cả các tệp đã sao chép cục bộ."
Các tin tặc cũng được phát hiện là đã truy cập các email doanh nghiệp được lưu trữ trong bộ lưu trữ Microsoft Outlook cục bộ dưới dạng tệp OST (viết tắt của Offline Storage Table) bằng cách sử dụng TCSectorCopy ("xCopy.exe"), bỏ qua các hạn chế truy cập vào các tệp này khi ứng dụng đang chạy.
Được viết bằng C++, TCSectorCopy chấp nhận một tệp cần sao chép làm đầu vào (trong trường hợp này là các tệp OST) và sau đó tiến hành mở đĩa dưới dạng thiết bị chỉ đọc và sao chép nội dung tệp từng sector một cách tuần tự. Sau khi các tệp OST được ghi vào một đường dẫn do kẻ tấn công chọn, nội dung của thư điện tử sẽ được trích xuất bằng cách sử dụng XstReader, một công cụ xem mã nguồn mở cho các tệp OST và PST của Outlook.
Một chiến thuật khác được ToddyCat áp dụng liên quan đến việc lấy access tokens trực tiếp từ bộ nhớ trong các trường hợp tổ chức nạn nhân sử dụng dịch vụ đám mây Microsoft 365. Các JSON web tokens (JWTs) được lấy thông qua một công cụ C# mã nguồn mở có tên SharpTokenFinder, công cụ này liệt kê các ứng dụng Microsoft 365 để tìm các authentication tokens dạng plain text.
Tuy nhiên, tin tặc được cho là đã gặp phải một trở ngại trong ít nhất một sự cố được điều tra sau khi phần mềm bảo mật được cài đặt trên hệ thống chặn nỗ lực của SharpTokenFinder nhằm dump tiến trình Outlook.exe. Để vượt qua hạn chế này, kẻ tấn công đã sử dụng công cụ ProcDump từ gói Sysinternals với các đối số cụ thể để tạo memory dump của tiến trình Outlook.
"Nhóm APT ToddyCat liên tục phát triển các kỹ thuật của mình và tìm kiếm những phương pháp có thể che giấu hoạt động để giành quyền truy cập vào các thư từ của công ty trong hạ tầng bị xâm nhập," Kaspersky cho biết.
