ToddyCat APT进化：瞄准Outlook存档与Microsoft 365令牌

ToddyCat高级持续性威胁（APT）工具包的攻击者已转向窃取Outlook邮件数据和Microsoft 365访问令牌。

根据卡巴斯基实验室的研究结果，该APT组织在2024年底至2025年初完善了其工具包，不仅能够捕获之前常见的浏览器凭证，还能获取受害者的实际邮件存档和访问令牌。

卡巴斯基的报告描述了该组织如何入侵企业环境（本地Exchange或云端邮件），然后利用巧妙的利用后方法外泄邮件往来，而不会触发通常的警报。

从浏览器到域控制器

在2024年5月至6月观测到的事件中，卡巴斯基披露检测到名为“TomBerBill”的ToddyCat工具包新版本。该工具使用PowerShell编写，直接在域控制器上以特权用户账户运行。

此次更新将攻击范围从针对Chrome和Edge浏览器扩展到包括Firefox浏览器数据。脚本使用一个计划的“运行”任务，创建本地目录，然后通过SMB协议连接到网络上的用户主机目录。连接后，复制浏览器文件（Cookies、保存的凭据、历史记录等）以供离线分析。

通过捕获原始浏览器数据，包括Windows DPAPI加密密钥，ToddyCat可以解密保存的凭据，并可能利用它们来提升访问权限。

这是ToddyCat工具包今年第二次重大转向。此前在2025年4月的活动中，该组织曾滥用ESET反病毒引擎中的一个漏洞，通过该产品的受信任进程执行恶意模块。

另一个演变涉及访问实际的邮件数据。ToddyCat部署了一个名为TCSectorCopy的工具——一个C++实用程序，它以只读方式打开磁盘，并逐扇区复制Outlook的离线存储文件，从而绕过Outlook可能实施的任何文件锁定机制。

一旦OST文件被提取，它们会被输入到XstReader——一个能够解析OST/PST邮件存档的开源查看器——使攻击者能够访问企业往来的全部内容。在使用云邮件（如Microsoft 365）的环境中，新的ToddyCat工具会尝试窃取OAuth 2.0访问令牌。

攻击者可以从受害者的浏览器中提取OAuth 2.0令牌，使他们即使在不再位于受感染网络内部时，也能访问企业电子邮件，卡巴斯基研究员在报告中指出。

至少在一个案例中，安全软件阻止了他们的令牌转储尝试。研究人员指出，攻击者并未罢休，转而使用内存转储工具从正在运行的Outlook进程中直接提取令牌。

该报告提供了一组恶意文件名、路径和目录作为入侵指标，以支持检测工作。ToddyCat转向邮件窃取符合其早期活动中观察到的更广泛趋势，该组织曾使用自定义后门、隐蔽流量隧道和针对欧洲及亚洲政府与军事网络的长期间谍战术。