APTグループToddyCatが、OutlookアーカイブとMicrosoft 365トークンを標的にし始めた。
IB Photography – shutterstock.com
Kaspersky Labsの研究者らは、APT(Advanced Persistent Threat:高度持続的脅威)グループToddyCatが、現在はOutlookのメールデータとMicrosoft 365アクセス・トークンの窃取を専門としていることを突き止めた。
それによると、このハッカー集団は2024年末から2025年初頭にかけてツールキットを進化させ、従来のようにブラウザーのログイン情報を盗むだけでなく、さらに踏み込んだ攻撃を行うようになった。以前、このグループはインターネットに接続されたMicrosoft Exchangeサーバーをハッキングすることで、アジアおよびヨーロッパの著名な組織を標的にしていた。
最近公開された調査レポートの中で、KasperskyはこのAPTグループがどのように企業環境(オンプレミスのExchangeやクラウドベースのメールシステム)を侵害しているかを説明している。その後、通常のアラームを発生させることなくメールのやり取りを外部に持ち出すため、巧妙なポスト・エクスプロイト手法を用いるという。
標的となるOutlook
攻撃者の狙いは、実際のメールデータへのアクセスを得ることだ。ToddyCatはそのためにTCSectorCopyというツールを使用している。これはC++で書かれたユーティリティで、ハードディスクを読み取り専用デバイスとして開き、Outlookのオフライン・ストレージ・ファイル(OST)をコピーすることで、Outlookが適用している可能性のあるあらゆるファイルロック機構を回避する。
OSTファイルが抽出されると、それらはXstReaderに投入される。これはOST/PSTメールアーカイブを解析できるオープンソースのビューアだ。これにより攻撃者は、企業のメール往来の全内容にアクセスできるようになる。Microsoft 365のようなクラウドメールを利用している環境では、新たなToddyCatはOAuth 2.0アクセス・トークンの収集を試みる。
Kasperskyが説明しているように、攻撃者は被害者のブラウザーからOAuth 2.0トークンを抽出することで、すでに侵害されたネットワーク内にいなくても企業メールにアクセスできてしまう。
「少なくとも1件のケースでは、セキュリティソフトウェアがトークン抽出の試みをブロックしました」とセキュリティ専門家らは述べている。「しかし攻撃者はひるむことなく、メモリダンプツール(SysinternalsのProcDump)に切り替え、稼働中のOutlookプロセスからトークンを直接抽出しました。」
レポートでは、検知の取り組みを支援するため、侵害の兆候(IOC)として複数の悪意あるファイル名、パス、ディレクトリが示されている。ToddyCatがメール窃取へと軸足を移したことは、以前のキャンペーンでも見られた傾向と一致している。すなわち、カスタムバックドア、秘匿されたトラフィックトンネルおよび長期的なスパイ戦術を用いて、ヨーロッパとアジアの政府・軍事ネットワークを狙うというものだ。
ブラウザーからドメインコントローラーへ
すでに2024年5月から6月にかけて、Kasperskyの研究者はToddyCatツールキットの新バージョンを発見していた。これはPowerShellで記述され、特権ユーザーアカウントの下でドメインコントローラーから直接動作するものだった。
このアップデートにより、攻撃の対象範囲はChromeとEdgeからFirefoxのブラウザーデータへと拡大された。このスクリプトはスケジュールされた「Run」タスクを使用し、ローカルディレクトリを作成したうえで、ネットワーク全体のユーザーホストディレクトリに(SMB経由で)接続した。接続後、オフライン解析のためにブラウザーファイル(Cookie、保存されたログイン情報、履歴など)をコピーした。
ブラウザーの生データを、Windows DPAPI暗号化キーを含めて収集することで、ToddyCatは保存されたログイン情報を復号し、それを再利用してアクセス権を拡大できる可能性があった。
さらに2025年4月には、同グループがESETのアンチウイルスエンジンの脆弱性を悪用し、製品の信頼されたプロセスを介して悪意あるモジュールを実行するキャンペーンも確認されている。(jm)
