هجوم سيبراني يستهدف اتصالات موظفي شركات عبر “تودي كات”

كشفت تقارير أمنية حديثة عن تطورات خطيرة في أساليب مجموعة التهديد المتقدمة المستمرة (APT) المعروفة باسم “ToddyCat”، حيث طورت هذه المجموعة طرقًا جديدة للوصول إلى الاتصالات الداخلية للموظفين في الشركات المستهدفة. تسلط هذه التطورات الضوء على التحديات المستمرة لحماية البيانات الحساسة في بيئة الأعمال التي تعتمد بشكل كبير على التواصل الرقمي.

تعتبر رسائل البريد الإلكتروني، سواء عبر الخوادم المحلية مثل Microsoft Exchange أو الخدمات السحابية مثل Microsoft 365 وGmail، الشريان الرئيسي للاتصالات التجارية في العديد من المؤسسات. يعتقد البعض أن الخدمات السحابية توفر حماية فائقة، حتى في حال اختراق الشبكة الداخلية، إلا أن مجموعة ToddyCat وجدت أنظمة لتجاوز هذه الافتراضات.

ToddyCat تستغل الاتصالات السحابية للوصول إلى بيانات البريد الإلكتروني

استمرت عمليات ToddyCat، التي رصدت في النصف الثاني من عام 2024 وبداية عام 2025، في إظهار تحول المجموعة من الأساليب التقليدية إلى طرق مبتكرة تهدف إلى التخفي وتجنب الكشف. تشكل هذه الأساليب الجديدة تهديدًا متزايدًا للشركات الكبرى التي تعتمد على البيئات السحابية.

من بين الأساليب الحديثة التي تتبناها المجموعة، استغلال متصفحات الويب لدى المستخدم لسرقة رموز المصادقة الخاصة بنظام OAuth 2.0. يمنح هذا الوصول غير المصرح به إلى البريد الإلكتروني للشركات من خارج الشبكة المخترقة، مما يزيد من صعوبة تتبع الهجوم.

وفقًا لباحثي الأمن في Securelist، فقد وثقت هذه الأساليب الجديدة للكشف عن كيفية تغيير ToddyCat لنهجها على مر الوقت. طورت المجموعة أدوات تعمل بصمت في الخلفية، تقوم بجمع معلومات المصادقة وبيانات البريد الإلكتروني دون إطلاق العديد من التنبيهات الأمنية.

تطور أدوات التهديدات للمساعدة في اختراق الشركات

أشارت التقارير إلى أن ToddyCat تقوم باستمرار باختبار وتحسين تقنياتها للبقاء في صدارة فرق الأمن. يعكس هذا التطور المستمر قدرة المجموعة على التكيف مع البيئات الأمنية المتغيرة.

أحدثت هذه المجموعة تحولًا كبيرًا في أدواتها، حيث قامت بتحديث أداة “TomBerBil” بنسخة خاصة بـ PowerShell. تختلف هذه النسخة الجديدة بشكل كبير عن الإصدارات السابقة، إذ تعمل على وحدات التحكم في النطاق (Domain Controllers) ذات الصلاحيات العالية، وتتواصل مع ملفات المتصفح عبر الشبكة باستخدام بروتوكول SMB.

تعمل الأداة على جمع البيانات من متصفحات Chrome وEdge وFirefox. تبدأ بقراءة قائمة بأسماء أجهزة الكمبيوتر من ملف، ثم تتصل بكل منها عبر مشاركات الشبكة. تتضمن الملفات التي تسعى إلى سرقتها ملف Login Data، الذي يحتوي على كلمات المرور المحفوظة، وملف Local State الذي يحوي مفاتيح التشفير، وملفات Cookies، وسجل التصفح.

بالنسبة لمتصفح Firefox، تقوم الأداة بنسخ ملفات مشابهة مثل key3.db و signons.sqlite و key4.db و logins.json من مجلدات ملف تعريف المستخدم. بالإضافة إلى ذلك، تنسخ الأداة مفاتيح تشفير DPAPI التي تستخدمها أنظمة Windows لحماية بيانات المستخدم.

تبدو الأوامر المستخدمة لتشغيل الأداة كالتالي:

powershell -exec bypass -command "c:programdataip445.ps1"

يقوم سكريبت PowerShell ببناء مسارات الملفات باستخدام هذا النهج:

$cpath = "{0}c$users" -f $myhost
$loginDataPath = $item.FullName + "AppDataLocalGoogleChromeUser DataDefaultLogin Data"
copy-item -Force -Path $loginDataPath -Destination $dstFileName

بفضل المفاتيح والمعلومات المسروقة، يمكن للمهاجمين فك تشفير جميع بيانات المتصفح على أنظمتهم الخاصة. هذا النهج، الذي يعتمد على بروتوكول SMB، يجعل عملية السرقة أكثر صعوبة في الكشف، حيث أن الوصول إلى ملفات الشبكة يعتبر أمرًا طبيعيًا في العديد من البيئات.