Công cụ hack của ToddyCat đánh cắp email Outlook và mã thông báo Microsoft 365

[Starlink]

Kẻ tấn công có tên ToddyCat đã bị phát hiện sử dụng các phương pháp mới để truy cập vào dữ liệu email của công ty mục tiêu, bao gồm cả việc sử dụng một công cụ tùy chỉnh có tên là TCSectorCopy.

Kaspersky cho biết trong một bản phân tích kỹ thuật: "Cuộc tấn công này cho phép chúng lấy được mã thông báo cho giao thức xác thực OAuth 2.0 bằng trình duyệt của người dùng, có thể được sử dụng bên ngoài phạm vi cơ sở hạ tầng bị xâm phạm để truy cập vào thư của công ty".

ToddyCat, được đánh giá là hoạt động từ năm 2020, có thành tích nhắm mục tiêu vào nhiều tổ chức khác nhau ở Châu Âu và Châu Á bằng nhiều công cụ khác nhau, Samurai và TomBerBil để duy trì quyền truy cập và đánh cắp cookie cũng như thông tin đăng nhập từ các trình duyệt web như Google Chrome và Microsoft Edge.

Đầu tháng 4 này, nhóm tin tặc được cho là đã khai thác lỗ hổng bảo mật trong ESET Command Line Scanner (CVE-2024-11859, điểm CVSS: 6,8) để phát tán phần mềm độc hại chưa từng được ghi nhận trước đây có tên mã là TCESB.

Kaspersky cho biết họ đã phát hiện trong các cuộc tấn công diễn ra từ tháng 5 đến tháng 6 năm 2024 một biến thể PowerShell của TomBerBil (khác với các phiên bản C++ và C# đã được cảnh báo trước đó), có khả năng trích xuất dữ liệu từ Mozilla Firefox. Một tính năng đáng chú ý của phiên bản này là nó chạy trên bộ điều khiển miền từ một người dùng đặc quyền và có thể truy cập các tệp trình duyệt thông qua tài nguyên mạng được chia sẻ bằng giao thức SMB.

Công ty cho biết thêm, phần mềm độc hại này được khởi chạy thông qua một tác vụ được lên lịch thực thi lệnh PowerShell. Cụ thể, nó tìm kiếm lịch sử trình duyệt, cookie và thông tin đăng nhập đã lưu trên máy chủ từ xa qua giao thức SMB. Mặc dù các tệp sao chép chứa thông tin được mã hóa bằng API Bảo vệ Dữ liệu Windows ( DPAPI ), TomBerBil được trang bị để nắm bắt khóa mã hóa cần thiết để giải mã dữ liệu.

"Phiên bản TomBerBil trước đây chạy trên máy chủ và sao chép mã thông báo người dùng. Kết quả là, DPAPI đã được sử dụng để giải mã khóa chính trong phiên làm việc hiện tại của người dùng, và sau đó là chính các tệp tin đó", các nhà nghiên cứu cho biết. "Trong phiên bản máy chủ mới hơn, TomBerBil sao chép các tệp tin chứa khóa mã hóa người dùng được DPAPI sử dụng. Sử dụng các khóa này, cùng với SID và mật khẩu của người dùng, kẻ tấn công có thể giải mã tất cả các tệp tin đã sao chép cục bộ."

Những kẻ tấn công cũng được phát hiện có thể truy cập vào email của công ty được lưu trữ trong bộ nhớ Microsoft Outlook cục bộ dưới dạng tệp OST (viết tắt của Offline Storage Table) bằng cách sử dụng TCSectorCopy ("xCopy.exe"), bỏ qua các hạn chế giới hạn quyền truy cập vào các tệp đó khi ứng dụng đang chạy.

Được viết bằng C++, TCSectorCopy chấp nhận đầu vào là một tệp cần sao chép (trong trường hợp này là tệp OST) và sau đó tiến hành mở đĩa dưới dạng thiết bị chỉ đọc và sao chép tuần tự nội dung tệp theo từng sector. Sau khi các tệp OST được ghi vào đường dẫn do kẻ tấn công chọn, nội dung của thư điện tử sẽ được trích xuất bằng XstReader, một trình xem mã nguồn mở cho tệp OST và PST của Outlook.

Một chiến thuật khác được ToddyCat áp dụng là cố gắng lấy mã thông báo truy cập trực tiếp từ bộ nhớ trong trường hợp các tổ chức nạn nhân sử dụng dịch vụ đám mây Microsoft 365. Mã thông báo web JSON (JWT) được lấy thông qua một công cụ C# nguồn mở có tên SharpTokenFinder, công cụ này liệt kê các ứng dụng Microsoft 365 để lấy mã thông báo xác thực dạng văn bản thuần túy.

Tuy nhiên, kẻ tấn công được cho là đã gặp phải trở ngại trong ít nhất một sự cố đang được điều tra sau khi phần mềm bảo mật được cài đặt trên hệ thống chặn nỗ lực dump tiến trình Outlook.exe của SharpTokenFinder. Để vượt qua hạn chế này, kẻ tấn công đã sử dụng công cụ ProcDump từ gói Sysinternals với các đối số cụ thể để dump bộ nhớ của tiến trình Outlook.

Kaspersky cho biết: "Nhóm APT ToddyCat liên tục phát triển các kỹ thuật của mình và tìm kiếm những kẻ có thể che giấu hoạt động để truy cập vào thư từ của công ty trong cơ sở hạ tầng bị xâm phạm".