ToddyCat: атаки на электронную почту через TomBerBil и TCSectorCopy

Исследования показывают, что угроза под названием ToddyCat подчёркивает уязвимость корпоративных систем электронной почты — даже если организация использует облачные решения вроде Microsoft 365 или Gmail. Когда стандартные методы компрометации доменов оказываются неприменимы, злоумышленники переходят на альтернативные техники для извлечения конфиденциальной переписки.

Ключевые инструменты и методики атаки

В арсенале атакующих выделяются несколько специализированных инструментов и приёмов:

• TomBerBil — семейство инструментов, нацеленное на извлечение файлов cookie и сохранённых паролей из веб-браузеров на устройствах пользователей. Вредонос написан на C# и C++ и использует различные методы obfuscation для сокрытия своей активности.
• TCSectorCopy — утилита, обрабатывающая диск как доступный только для чтения и копирующая содержимое «сектор за сектором». Такой подход позволяет обойти стандартные ограничения Windows API и извлечь файлы, которые в противном случае могли бы быть заблокированы ОС или другими приложениями.
• XstReader — открытый инструмент для просмотра и экспорта данных Microsoft Outlook из файлов .OST и .PST. После копирования целевых файлов с помощью TCSectorCopy злоумышленники использовали XstReader для экспорта и анализа почтовых данных.
• Извлечение access token из памяти приложений. В организациях, использующих облачные сервисы (в частности Microsoft 365), злоумышленники пытались достать access token прямо из оперативной памяти приложений, чтобы бесшумно получить доступ к облачной переписке.

«Это иллюстрирует эволюционирующую природу киберугроз, которые используют как локальную, так и облачную инфраструктуру электронной почты», — констатируют авторы отчёта.

Почему эти приёмы опасны

Комбинация копирования «сектора за сектором», экспорта из OST/PST и кражи access token позволяет злоумышленникам:

• обойти блокировки файлов, наложенные ОС и средствами безопасности;
• получать доступ к локально сохранённой переписке Microsoft Outlook;
• получать доступ к облачной почте, не вызывая немедленных подозрений у администраторов;
• собирать учетные данные и cookies для дальнейшей эскалации и перемещения по сети.

Рекомендации по защите

Эксперты по кибербезопасности советуют принять комплекс мер, чтобы снизить риск успешной компрометации:

• Включить многофакторную аутентификацию (MFA) для доступа к почте и критичным сервисам.
• Ограничить хранение учётных данных в браузерах и использовать корпоративные password manager.
• Развернуть современные EDR/NGAV-решения с возможностью обнаружения необычных операций чтения диска и сканирования памяти.
• Контролировать и сокращать привилегии пользователей: минимизировать количество учетных записей с правами администратора.
• Настроить мониторинг и реагирование на попытки чтения «сырых» секторов диска и запуск подозрительных утилит (например, TCSectorCopy).
• Применять политики управления сессиями и access token: сокращать время жизни токенов, применять conditional access и блокировать устаревшие типы аутентификации.
• Шифровать диски и использовать защищённые рабочие станции для доступа к критичной почте (Privileged Access Workstations).
• Обучать сотрудников распознавать фишинговые письма и сигналы компрометации.

Вывод

Кампания ToddyCat демонстрирует, что злоумышленники адаптируются к защитным механизмам: если не удаётся атаковать облако напрямую — они работают с локальными артефактами, а при наличии облачных сервисов — крадут access token из памяти. Это требует от организаций сочетания хороших практик по защите endpoints, правильной конфигурации облачных сервисов и постоянного мониторинга подозрительных действий.

Ключевое правило: защита почты должна быть многоуровневой — от контроля доступа и MFA до мониторинга памяти и аномалий в работе дисковой подсистемы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.