Le groupe APT ToddyCat n’est pas disponible dans Outlook-Archive et Microsoft 365-Token.
Les chercheurs de Kaspersky Labs ont été festifs et le groupe APT (Advanced Persistent Threat) ToddyCat a lancé un programme spécialisé, Outlook-E-Mail-Daten et Microsoft 365-Zugriffstoken zu stehlen.
Demnachhat the Hackerbande ihr Toolkit Ende 2024 and Anfang 2025 weiterentwickelt, um nicht nur wie bisher Browser-Anmeldedaten zu stehlen. Zuvor hatte die Gruppe hochkarätige Organisationen in Asia and Europa in Visier genommen, indem sich in mit the Internet Verbundene Microsoft Exchange-Server hackte.
Dans le cadre de l’assistance technique complète de Kaspersky, les services du groupe APT (échange local ou système de courrier électronique basé sur le cloud) sont acceptés. Essayez de définir une méthode post-exploit intelligente dans le courrier électronique correspondant à l’exfiltration, sans déclencher l’alarme.
Outlook dans la rue Fadenkreuz
Ziel der Angreifer ist es dabei, sich Zugriff auf tatsächliche E-Mail-Daten verschaffen. ToddyCat a défini un outil nommé TCSectorCopy dans un programme C++, la plate-forme de programmation et les mises à jour Web et les dates de diffusion hors ligne (OST) d’Outlook copiées, qui permettent de copier tous les mécanismes de gestion des données, qui permettent d’Outlook être configurées ensemble. werden.
Ainsi, les données OST extraites sont disponibles dans XstReader – un visualiseur Open-Source, qui peut analyser l’archive OST/PST-E-Mail. Dadurch erhalten die Angreifer Zugriff auf den gesamten Inhalt der Unternehmenskorrespondenz. Dans l’exemple, le Cloud-E-Mail comme Microsoft 365 utilise le nouveau ToddyCat, OAuth 2.0-Zugriffstoken pour l’ensemble.
Comme Kaspersky le propose, vous pouvez utiliser OAuth 2.0-Token dans le navigateur pour obtenir des options supplémentaires et ainsi utiliser des e-mails de messagerie, si vous ne trouvez pas de réseau plus efficace.
« Dans l’esprit d’un logiciel de sécurité bloqué, les jetons doivent être extraits », disent les spécialistes de la sécurité. « Unbeeindruckt davon, wechselten die Angreifer zu a Memory-Dump-Tool (ProcDump von Sysinternals), pour les jetons directement au-dessus du processus Outlook laufenden zu extrahieren. »
Der Bericht zeigt eine Reihe von bösartigen Dateinamen, Pfaden et Verzeichnissen als Indikatoren für Kompromittierungen (IOC), um die Erkennungsbemühungen zu unterstützen. L’édition de ToddyCat a eu lieu avec un e-mail à la suite d’une tendance qui se déroule dans les campagnes früheren zu beobachten war: des portes dérobées massives, des tunnels de circulation verts et des activités d’espionnage langfristige pour les services de réglementation et les réseaux militaires en Europe et en Asie.
Par le navigateur des contrôleurs de domaine
Entre mai et juin 2024, Kaspersky-Forscher a lancé une nouvelle version des ToddyCat-Toolkits, qui est conçue dans PowerShell et dirigée par des contrôleurs privés sous un contrat de gestion privilégié.
Cette mise à jour a été effectuée par l’un des utilisateurs de Chrome et Edge au niveau du navigateur Firefox. Le script utilise une plante « Run »-Aufgabe, crée une version locale et puis (au-dessus de SMB) une connexion avec Benutzer-Host-Verzeichnissen dans un réseau géré. Nach der Verbindung kopierte es Browser-Dateien (Cookies, Gespeicherte Anmeldedaten, Verlauf usw.) pour l’analyse hors ligne.
Grâce à la configuration des navigateurs, une version standard de Windows-DPAPI, vous obtenez des informations détaillées sur ToddyCat et ces versions faciles à utiliser, un des paramètres les plus courants.
Il s’agit d’une campagne en avril 2025, au sein du groupe une société spécialisée dans le moteur antivirus d’ESET, qui a mis au point un module de travail sur le processus vertrauenswürdigen des produits auszuführen. (jm)
