El actor de amenazas conocido como Gato pequeño se ha observado la adopción de nuevos métodos para obtener acceso a los datos de correo electrónico corporativo que pertenecen a las empresas objetivo, incluido el uso de una herramienta personalizada denominada TCSectorCopy.
«Este ataque les permite obtener tokens para el protocolo de autorización OAuth 2.0 utilizando el navegador del usuario, que pueden usarse fuera del perímetro de la infraestructura comprometida para acceder al correo corporativo», dijo Kaspersky dijo en una avería técnica.
ToddyCat, evaluado como activo desde 2020, tiene un trayectoria de atacar a varias organizaciones de Europa y Asia con diversas herramientas, Samurai y TomberBil, para retener el acceso y robar cookies y credenciales de navegadores web como Google Chrome y Microsoft Edge.
A principios de abril, el grupo de hackers estaba atribuido a la explotación de una falla de seguridad en ESET Command Line Scanner (CVE-2024-11859, puntuación CVSS: 6.8) para entregar un malware previamente no documentado con nombre en código TCESB.
Kaspersky dijo que detectó una variante PowerShell de TomberBil (a diferencia de las versiones de C++ y C# marcadas anteriormente) en los ataques que tuvieron lugar entre mayo y junio de 2024, que viene con la capacidad de extraer datos de Mozilla Firefox. Una característica destacable de esta versión es que se ejecuta en los controladores de dominio de un usuario privilegiado y puede acceder a los archivos del navegador a través de recursos de red compartidos mediante el protocolo SMB.
El malware, agregó la compañía, se lanzó mediante una tarea programada que ejecutaba un comando de PowerShell. Concretamente, busca el historial del navegador, las cookies y las credenciales guardadas en el host remoto a través de SMB. Mientras que los archivos copiados que contienen la información se cifran mediante la API de protección de datos de Windows ( DPAPI ), TomberBil está equipado para capturar la clave de cifrado necesaria para descifrar los datos.
«La versión anterior de TomberBil se ejecutaba en el host y copiaba el token de usuario. Como resultado, el DPAPI se utilizó para descifrar la clave maestra de la sesión actual del usuario y, posteriormente, los propios archivos», dijeron los investigadores. «En la versión de servidor más reciente, TomberBil copia los archivos que contienen las claves de cifrado de usuario que utiliza DPAPI. Con estas claves, así como el SID y la contraseña del usuario, los atacantes pueden descifrar todos los archivos copiados localmente».
También se ha descubierto que los atacantes acceden a los correos electrónicos corporativos almacenados en el almacenamiento local de Microsoft Outlook en forma de archivos OST (abreviatura de Offline Storage Table) mediante TCSectorCopy (» xCopy.exe «), eludiendo las restricciones que limitan el acceso a dichos archivos cuando la aplicación está en ejecución.
Escrito en C++, TCSectorCopy acepta como entrada un archivo que se va a copiar (en este caso, archivos OST) y luego procede a abrir el disco como un dispositivo de solo lectura y a copiar secuencialmente el contenido del archivo sector por sector. Una vez que los archivos OST se escriben en la ruta que elija el atacante, el contenido de la correspondencia electrónica se extrae mediante Lector XS , un visor de código abierto para archivos OST y PST de Outlook.
Otra táctica adoptada por ToddyCat implica esfuerzos para obtener tokens de acceso directamente de la memoria en los casos en que las organizaciones víctimas utilizaron el servicio en la nube Microsoft 365. Los tokens web JSON (JWT) se obtienen a través de una herramienta de código abierto en C# denominada Buscador de tokens de Sharp , que enumera las aplicaciones de Microsoft 365 para los tokens de autenticación de texto sin formato.
Sin embargo, se dice que el actor de la amenaza sufrió un revés en al menos un incidente investigado, después de que un software de seguridad instalado en el sistema bloqueara el intento de SharpTokenFinder de eliminar el proceso Outlook.exe. Para evitar esta restricción, el operador utilizó el Pro Dump herramienta del paquete Sysinternals con argumentos específicos para tomar un volcado de memoria del proceso de Outlook.
«El grupo ToddyCat APT desarrolla constantemente sus técnicas y busca aquellas que oculten la actividad para acceder a la correspondencia corporativa dentro de la infraestructura comprometida», afirma Kaspersky.