Neue ToddyCat-Generation stiehlt Outlook-E-Mails und Microsoft-365-Tokens : Hochentwickelte Angriffswerkzeuge zielen auf Unternehmenskommunikation ab
Die Hackergruppe ToddyCat verschärft ihre Angriffstaktiken: Neue Werkzeuge stehlen Outlook-E-Mails direkt aus laufenden Systemen, kopieren sensible Offline-Speicherdateien sektorweise und extrahieren Microsoft-365-Tokens aus Speicherprozessen. Untersuchungen zeigen, wie schnell sich diese Bedrohungsakteure weiterentwickeln – und wie präzise sie inzwischen E-Mail-Kommunikation ins Visier nehmen.
Der Bedrohungsakteur ToddyCat ist seit dem Jahr 2020 aktiv und bekannt für gezielte Operationen gegen Organisationen in Europa und Asien. Nach Analysen von Kaspersky setzt die Gruppe zunehmend spezialisierte Werkzeuge ein, um Zugriff auf geschäftliche E-Mails und Zugangstokens zu erhalten.
„Diese Attacke ermöglicht es ihnen, Tokens für das OAuth 2.0 Autorisierungsprotokoll über den Browser der Nutzer zu erhalten“, erklärt Kaspersky. Diese Tokens lassen sich außerhalb der kompromittierten Infrastruktur nutzen, um auf Unternehmenspostfächer zuzugreifen.
Bereits in der Vergangenheit nutzte ToddyCat Werkzeuge wie Samurai und TomBerBil, um Zugangsdaten und Browsercookies aus Google Chrome und Microsoft Edge zu stehlen. Im April wurde die Gruppe zudem mit der Ausnutzung einer Schwachstelle im ESET Command Line Scanner (CVE 2024-11859, Gesamtbewertung 6,8) in Verbindung gebracht, um die neue Malware TCESB einzuschleusen. Die Schwachstelle wurde von ESET Ende Januar nach einer verantwortungsvollen Meldung behoben.
TomBerBil wird weiterentwickelt – jetzt auch als PowerShell-Variante
Zwischen Mai und Juni des Jahres 2024 entdeckten Analysten eine neue PowerShell-Variante von TomBerBil. Diese Version erweitert die Möglichkeiten der bisherigen C++- und C-Sharp-Versionen deutlich.
Die Malware kann Daten aus Mozilla Firefox auslesen und läuft auf Domänencontrollern mit hohen Rechten. Dadurch bekommt sie Zugriff auf Browserdateien, die über Netzwerkfreigaben per SMB- (Server Message Block)Protokoll erreichbar sind. Gestartet wird TomBerBil über eine geplante Aufgabe, die auf entfernten Systemen gezielt nach Browserhistorien, Cookies und gespeicherten Zugangsdaten sucht.
Obwohl diese Daten normalerweise mit der Windows Data Protection Programmierschnittstelle (DPAPI) verschlüsselt sind, kann TomBerBil die benötigten Schlüssel stehlen. Kaspersky erklärt dazu: „Die vorige Version von TomBerBil lief direkt auf dem betroffenen Rechner und kopierte das jeweilige Nutzertoken. Dadurch konnte die Windows DPAPI den Hauptschlüssel in der aktiven Sitzung entschlüsseln.“
Zur neuen Variante heißt es weiter: „In der Serverversion kopiert TomBerBil Dateien, welche die Verschlüsselungsschlüssel des Benutzers enthalten. Mit diesen Schlüsseln sowie der Benutzeridentifikation und dem Passwort ist es möglich, alle kopierten Dateien lokal zu entschlüsseln.“
TCSectorCopy: Outlook-Offline-Dateien sektorweise kopieren
Besonders bemerkenswert ist der Einsatz des neuen C++-Werkzeugs TCSectorCopy, auch bekannt als xCopy.exe. Dieses Werkzeug ermöglicht den Zugriff auf lokale Microsoft-Outlook-Speicherdateien in der Offline Speicher Tabelle (Offline Storage Table, kurz OST).
Normalerweise sind diese Dateien gesperrt, wenn Outlook aktiv ist. TCSectorCopy umgeht diese Beschränkung, indem es die Festplatte als schreibgeschütztes Gerät öffnet und die Datei sektorweise kopiert. Anschließend können Angreifer den Inhalt mit dem XstReader auslesen, einem Open-Source-Werkzeug zum Analysieren von Outlook-Speicherdateien.
Microsoft-365-Tokens direkt aus dem Speicher extrahieren
ToddyCat versucht zudem, Zugriffstokens aus Speichern laufender Prozesse zu stehlen, insbesondere bei Organisationen, die den Cloud-Dienst Microsoft 365 nutzen. Die JSON Web-Tokens werden mit einem C-Sharp-Werkzeug namens SharpTokenFinder (ebenfalls Open Source) erbeutet, das Microsoft 365-Anwendungen nach Klartext-Authentisierungstokens durchsucht.
In mindestens einem untersuchten Fall konnte die installierte Sicherheitssoftware verhindern, dass der Outlook-Prozess auf diese Art ausgelesen wurde. Doch die Angreifer zeigten Flexibilität und Kreativität: Sie wichen aus und nutzten das Werkzeug ProcDump aus dem Sysinternals-Paket, um den Speicher des Outlook-Prozesses über einen anderen Weg dennoch auszulesen.
Ein Bedrohungsakteur, der sich ständig weiterentwickelt
Kaspersky betont die hohe Dynamik: „Die ToddyCat APT Gruppe entwickelt ihre Techniken konstant weiter und sucht ständig nach Methoden, die ihre Aktivitäten verbergen, um innerhalb der kompromittierten Infrastruktur Zugriff auf Unternehmenskorrespondenz zu gewinnen.“
Die Entwicklungen – insbesondere der der vergangenen zwei Jahre – zeigen deutlich, wie gezielt ToddyCat zentrale Bereiche der geschäftlichen Kommunikation angreift: Dazu gehören Tokens für die Cloud-Authentisierung, Browserdaten als Grundlage für Sitzungs-Hijacking und lokale Outlook-Dateien, die als vollständige Kopie ganzer Postfächer dienen.
Fazit: Unternehmen müssen ihre E-Mail-Infrastrukturen konsequent härten
Der Fall zeigt, wie ausgereift und modular moderne Angriffsketten geworden sind. Besonders kritisch ist der Zugriff auf Tokens und Outlook-Speicherdateien, weil Angreifer damit vollständigen Zugriff auf E-Mailinhalte erhalten – oft ohne eine direkte Kompromittierung des Servers.
Unternehmen sollten daher ihre Schutzmaßnahmen gegen Token-Diebstahl, Speicherzugriffe und Prozessmanipulation umfassend auf den Stand der Technik bringen und Telemetriedaten engmaschig überwachen. Nur so lassen sich Angriffe erkennen, bei denen die technischen Werkzeuge immer komplexer werden und die Gefahr für geschäftliche Kommunikation weiter steigt.