El actor de amenazas conocido como Derretir Se ha observado la apadrinamiento de nuevos métodos para obtener llegada a datos de correo electrónico corporativo pertenecientes a empresas objetivo, incluido el uso de una útil personalizada denominada TCSectorCopy.
“Este ataque les permite obtener tokens para el protocolo de autorización OAuth 2.0 utilizando el navegador del sucesor, que pueden estar de moda fuera del perímetro de la infraestructura comprometida para ingresar al correo corporativo”, dijo Kaspersky en un desglose técnico.
ToddyCat, que se considera activo desde 2020, tiene un historial de apuntar a varias organizaciones en Europa y Asia con varias herramientas, Samurai y TomBerBil, para retener el llegada y robar cookies y credenciales de navegadores web como Google Chrome y Microsoft Edge.
A principios de abril, se atribuyó al montón de piratas informáticos la explotación de una falta de seguridad en ESET Command Line Scanner (CVE-2024-11859, puntuación CVSS: 6.8) para entregar un malware previamente indocumentado con nombre en código TCESB.
Kaspersky dijo que detectó una cambio PowerShell de TomBerBil (a diferencia de las versiones C++ y C# señaladas anteriormente) en ataques que tuvieron lado entre mayo y junio de 2024, que viene con capacidades para extraer datos de Mozilla Firefox. Una característica extraordinario de esta interpretación es que se ejecuta en controladores de dominio de un sucesor privilegiado y puede ingresar a archivos del navegador a través de fortuna de red compartidos utilizando el protocolo SMB.
El malware, añadió la empresa, se lanzó mediante una tarea programada que ejecutaba un comando de PowerShell. Específicamente, indagación el historial del navegador, cookies y credenciales guardadas en el host remoto a través de SMB. Si adecuadamente los archivos copiados que contienen la información se cifran utilizando la API de protección de datos de Windows (DPAPI), TomBerBil está equipado para capturar la esencia de criptográfico necesaria para descifrar los datos.
“La interpretación precedente de TomBerBil se ejecutaba en el host y copiaba el token del sucesor. Como resultado, se utilizó DPAPI para descifrar la esencia maestra en la sesión presente del sucesor y, luego, los archivos mismos”, dijeron los investigadores. “En la interpretación más nueva del servidor, TomBerBil copia archivos que contienen claves de criptográfico de sucesor que utiliza DPAPI. Usando estas claves, así como el SID y la contraseña del sucesor, los atacantes pueden descifrar todos los archivos copiados localmente”.
Además se ha descubierto que los actores de amenazas acceden a correos electrónicos corporativos almacenados en el almacenamiento lugar de Microsoft Outlook en forma de archivos OST (iniciales de Offline Storage Table) utilizando TCSectorCopy (“xCopy.exe”), eludiendo las restricciones que limitan el llegada a dichos archivos cuando la aplicación se está ejecutando.
Escrito en C++, TCSectorCopy acepta como entrada un archivo para copiar (en este caso, archivos OST) y luego procede a rasgar el disco como un dispositivo de solo recitación y copia secuencialmente el contenido del archivo sector por sector. Una vez que los archivos OST se escriben en la ruta elegida por el atacante, el contenido de la correspondencia electrónica se extrae utilizando XstReader, un visor de código despejado para archivos OST y PST de Outlook.
Otra táctica adoptada por ToddyCat implica esfuerzos para obtener tokens de llegada directamente de la memoria en los casos en que las organizaciones víctimas utilizaron el servicio en la montón de Microsoft 365. Los tokens web JSON (JWT) se obtienen a través de una útil C# de código despejado señal SharpTokenFinder, que enumera aplicaciones de Microsoft 365 para tokens de autenticación de texto sin formato.
Pero se dice que el actor de amenazas enfrentó un revés en al menos un incidente investigado luego de que el software de seguridad instalado en el sistema bloqueara el intento de SharpTokenFinder de volcar el proceso Outlook.exe. Para sortear esta restricción, el cámara utilizó la útil ProcDump del paquete Sysinternals con argumentos específicos para realizar un volcado de memoria del proceso de Outlook.
“El montón ToddyCat APT está constantemente desarrollando sus técnicas y buscando aquellas que ocultarían la actividad para obtener llegada a la correspondencia corporativa en el interior de la infraestructura comprometida”, dijo Kaspersky.
