新たなToddyCatのツールは、グループの焦点をブラウザ窃取からOutlookメールアーカイブとMicrosoft 365アクセストークンの抽出へと移しています。
ToddyCat高度持続的脅威(APT)ツールキットの背後にいる攻撃者は、OutlookメールデータとMicrosoft 365アクセストークンの窃取へと適応しています。
Kaspersky Labsの調査によると、このAPTグループは2024年末から2025年初頭にかけて、従来見られたブラウザ認証情報だけでなく、被害者の実際のメールアーカイブやアクセストークンも取得できるようツールキットを改良しました。
Kasperskyのレポートでは、グループが企業環境(オンプレミスのExchangeやクラウドベースのメール)を侵害し、巧妙なポストエクスプロイト手法を用いて通常のアラームを発生させずにメール通信を外部に持ち出した方法が説明されています。
ToddyCatは少なくとも2020年から活動しており、通常はブラウザのCookieや認証情報の窃取にとどまっていましたが、今回のOutlookアーカイブ全体の吸い上げへのシフトは、同グループの手口における大きなエスカレーションを示しています。グループは以前、アジアやヨーロッパの著名な組織を、インターネットに公開されたMicrosoft Exchangeサーバーをハッキングすることで標的にしていました。
ブラウザからドメインコントローラーへ
2024年5月から6月にかけて観測されたインシデントでは、KasperskyがPowerShellで書かれた新バージョンのToddyCatツールキット「TomBerBill」を検知したと明かしています。このツールは特権ユーザーアカウントでドメインコントローラー上から直接動作していました。
このアップデートにより、攻撃の対象範囲はChromeやEdgeからFirefoxのブラウザデータにも拡大されました。スクリプトはスケジュールされた「run」タスクを使い、ローカルディレクトリを作成し、ネットワーク上のユーザーホストディレクトリにSMB経由で接続します。接続後、ブラウザファイル(Cookie、保存された認証情報、履歴など)をコピーし、オフラインで解析します。
生のブラウザデータ(Windows DPAPI暗号化キーを含む)を取得することで、ToddyCatは保存された認証情報を復号し、それらを再利用してアクセス権限を拡大する可能性があります。
これは、今年のToddyCatツールキットにおける2度目の大きな方向転換であり、2025年4月のキャンペーンでは、同グループがESETのアンチウイルスエンジンの脆弱性を悪用し、製品の信頼されたプロセスを通じて悪意あるモジュールを実行していました。
Outlookが標的に
もう一つの進化は、実際のメールデータへのアクセスです。ToddyCatはTCSectorCopyというツールを展開しました。これはC++で書かれたユーティリティで、ディスクを読み取り専用デバイスとして開き、Outlookのオフラインストレージファイル(OST)をセクターごとにコピーし、Outlookが強制するファイルロック機構を回避します。
OSTファイルが抽出されると、それらはXstReaderに入力されます。これはOST/PSTメールアーカイブを解析できるオープンソースのビューアであり、攻撃者は企業のメール通信の全内容にアクセスできるようになります。Microsoft 365のようなクラウドメール環境では、新たなToddyCatはOAuth 2.0アクセストークンの収集も試みます。
攻撃者は被害者のブラウザからOAuth 2.0トークンを抽出でき、これにより侵害されたネットワーク内にいなくても企業メールにアクセスできると、Kasperskyの研究者はレポートで述べています。
少なくとも1件では、セキュリティソフトウェアがトークンダンプの試みを阻止したと研究者は指摘しています。しかし攻撃者はひるまず、メモリダンプツール(SysinternalsのProcDump)を使い、実行中のOutlookプロセスから直接トークンを抽出する手法に切り替えました。
