كشفت تقارير أمنية حديثة أن مجموعة التهديدات المعروفة باسم ToddyCat قد طورت أساليب جديدة للاستيلاء على بيانات البريد الإلكتروني الخاصة بالشركات المستهدفة، مما يثير قلقاً متزايداً بشأن أمان المعلومات الحساسة. تستخدم هذه المجموعة أدوات متطورة، أبرزها أداة تحمل اسم TCSectorCopy، لتعزيز قدرتها على اختراق الأنظمة.
ويتيح هذا الهجوم للمخترقين الحصول على رموز مصادقة بروتوكول OAuth 2.0 عبر متصفحات المستخدمين. هذه الرموز المسروقة يمكن استخدامها للوصول إلى رسائل البريد الإلكتروني الخاصة بالشركات من خارج البنية التحتية التي تم اختراقها، مما يعقد عملية الكشف والمواجهة.
تنشط ToddyCat منذ عام 2020، وقد استهدفت سابقاً العديد من المنظمات في أوروبا وآسيا، مستخدمة أدوات مختلفة مثل Samurai و TomBerBil للاحتفاظ بالوصول وسرقة ملفات تعريف الارتباط وبيانات الاعتماد من متصفحات الويب.
أساليب todhycat الجديدة للاستيلاء على بيانات البريد الإلكتروني
من بين الأساليب المستحدثة، تلجأ ToddyCat إلى استغلال الثغرات الأمنية، مثل تلك التي تم اكتشافها في ESET Command Line Scanner. هذا الاستغلال سمح للمجموعة بنشر برامج ضارة جديدة وغير موثقة سابقاً، تحمل الاسم الرمزي TCESB.
في تطور آخر، رصدت شركة كاسبرسكي إصداراً جديداً من أداة TomBerBil يعتمد على PowerShell، بدلاً من الإصدارات السابقة التي كانت مكتوبة بلغات C++ و C#. هذا الإصدار الجديد تم اكتشافه في هجمات وقعت بين مايو ويونيو 2024، ويتميز بقدرته على استخلاص البيانات من متصفح Mozilla Firefox.
تكمن الميزة اللافتة لهذا الإصدار الجديد في قدرته على العمل مباشرة على وحدات تحكم المجال (domain controllers) من خلال حساب مستخدم ذي امتيازات عالية. كما يستطيع الوصول إلى ملفات المتصفح عبر موارد الشبكة المشتركة باستخدام بروتوكول SMB.
آلية عمل الإصدارات المطورة
يجري تشغيل هذه البرمجيات الخبيثة عبر مهمة مجدولة تقوم بتنفيذ أمر PowerShell. يبحث هذا الأمر عن سجلات المتصفح، وملفات تعريف الارتباط، وبيانات الاعتماد المحفوظة على الجهاز المستهدف عبر SMB. وعلى الرغم من أن الملفات التي تحتوي على هذه المعلومات يتم تشفيرها باستخدام Windows Data Protection API (DPAPI)، فإن TomBerBil تمتلك القدرة على التقاط مفتاح التشفير اللازم لفك هذه الملفات.
في الإصدارات السابقة، كان البرنامج يعمل على الجهاز نفسه ويقوم بنسخ رمز المستخدم. أما الإصدار الجديد، فيقوم بنسخ الملفات التي تحتوي على مفاتيح تشفير المستخدم المستخدمة من قبل DPAPI. باستخدام هذه المفاتيح، بالإضافة إلى معرف المستخدم وكلمة المرور، يمكن للمهاجمين فك تشفير جميع الملفات المنسوخة محلياً.
بالإضافة إلى ذلك، تستخدم ToddyCat أداة TCSectorCopy (xCopy.exe) للوصول إلى ملفات Microsoft Outlook المخزنة محلياً بصيغة OST. تسمح هذه الأداة بالتحايل على القيود التي تحد من الوصول إلى هذه الملفات عند تشغيل التطبيق.
تُكتب TCSectorCopy بلغة C++، وتقوم بقراءة محتويات ملفات OST قطاعاً بقطاع بعد فتح القرص في وضع القراءة فقط. بمجرد نقل ملفات OST إلى مسار يحدده المهاجم، يتم استخلاص محتوياتها باستخدام XstReader، وهو برنامج مفتوح المصدر لعرض ملفات Outlook.
كما تلجأ المجموعة إلى محاولة الحصول على رموز الوصول مباشرة من الذاكرة، خاصة عندما تستخدم المنظمات خدمة Microsoft 365 السحابية. يتم الحصول على رموز الويب JSON (JWTs) باستخدام أداة مفتوحة المصدر تدعى SharpTokenFinder، والتي تبحث عن رموز المصادقة النصية الواضحة في تطبيقات Microsoft 365.
ومع ذلك، واجهت ToddyCat عقبات في بعض الحالات، حيث منعت برامج الأمان المثبتة على الأنظمة محاولة SharpTokenFinder لاستخراج عملية Outlook.exe. لتجاوز ذلك، استخدم المهاجمون أداة ProcDump من حزمة Sysinternals لالتقاط تفريغ ذاكرة لعملية Outlook.
تؤكد هذه التطورات أن مجموعة ToddyCat تعمل باستمرار على تطوير تقنياتها وتبحث عن طرق جديدة للتخفي لضمان الوصول إلى المراسلات داخل البنية التحتية المخترقة، مما يتطلب يقظة مستمرة وتحديثات أمنية دائمة.