Nhóm tác chiến mạng nâng cao (APT) ToddyCat APT đã phát triển các phương pháp tinh vi mới để truy cập vào các kênh liên lạc email nội bộ của các tổ chức mục tiêu. Việc này cho thấy một sự thay đổi đáng kể trong chiến thuật của các mối đe dọa mạng nhằm vượt qua các biện pháp bảo mật hiện có.
Email vẫn là phương tiện giao tiếp kinh doanh cốt lõi của các công ty, dù sử dụng máy chủ riêng như Microsoft Exchange hay các dịch vụ đám mây như Microsoft 365 và Gmail. Mặc dù nhiều người tin rằng các dịch vụ đám mây cung cấp khả năng bảo vệ tốt hơn, ToddyCat đã tìm ra cách phá vỡ giả định này.
Sự Tiến Hóa Trong Chiến Thuật Xâm Nhập Mạng Của ToddyCat
Nhóm ToddyCat đã liên tục cải tiến phương pháp của mình để bí mật truy cập vào các cuộc hội thoại email nội bộ của nhân viên. Các cuộc tấn công gần đây đã diễn ra trong nửa cuối năm 2024 và đầu năm 2025.
Các chiến dịch này minh họa rõ ràng cách những kẻ tấn công chuyển từ các phương pháp truyền thống sang các kỹ thuật mới hơn. Mục tiêu chính là tránh bị phát hiện và duy trì quyền truy cập lâu dài vào hệ thống mục tiêu.
Kỹ Thuật Đánh Cắp Token OAuth 2.0 Mới
Kỹ thuật mới nhất mà ToddyCat sử dụng là khai thác trình duyệt của người dùng để đánh cắp các token cho hệ thống OAuth 2.0. Các token này sau đó được sử dụng để truy cập email công ty từ bên ngoài mạng lưới đã bị xâm nhập.
Các nhà nghiên cứu bảo mật tại Securelist đã xác định các phương pháp tấn công mới này. Họ đã ghi lại chi tiết cách ToddyCat điều chỉnh cách tiếp cận của mình theo thời gian để đạt được mục tiêu.
Nhóm này đã phát triển các công cụ hoạt động âm thầm ở chế độ nền. Chúng được thiết kế để đánh cắp thông tin xác thực và dữ liệu email mà không kích hoạt nhiều cảnh báo bảo mật. Điều này cho thấy mức độ tinh vi cao trong hoạt động của ToddyCat APT.
Các nhà nghiên cứu nhấn mạnh rằng ToddyCat liên tục thử nghiệm và cải thiện kỹ thuật của mình. Mục đích là để luôn đi trước các đội ngũ an ninh mạng và duy trì hiệu quả tấn công.
Công Cụ TomBerBil Và Cơ Chế Đánh Cắp Dữ Liệu Email
ToddyCat đã nâng cấp công cụ TomBerBil của mình với một phiên bản PowerShell. Phiên bản này hoạt động khác biệt so với các mô hình trước đây và có khả năng triển khai mạnh mẽ hơn.
Phiên bản PowerShell mới của TomBerBil được thực thi trên các bộ điều khiển miền (domain controllers) với quyền truy cập cấp cao. Từ đó, nó tiếp cận các tệp trình duyệt trên toàn mạng bằng cách sử dụng giao thức SMB.
Công cụ này được thiết kế để thu thập dữ liệu từ các trình duyệt phổ biến như Chrome, Edge và Firefox. Quá trình bắt đầu bằng cách đọc danh sách tên máy tính từ một tệp, sau đó kết nối tới từng máy tính thông qua các chia sẻ mạng (network shares).
Dữ Liệu Trình Duyệt Mục Tiêu Và Mã Lệnh Minh Họa
Script PowerShell tạo các thư mục để sắp xếp dữ liệu bị đánh cắp. Sau đó, nó sao chép các tệp trình duyệt quan trọng, bao gồm:
- Login Data: Lưu trữ mật khẩu đã lưu.
- Local State: Chứa các khóa mã hóa.
- Cookies files: Lưu trữ thông tin phiên và cookie.
- Browsing History: Lịch sử duyệt web.
Đối với trình duyệt Firefox, TomBerBil thu thập các tệp tương tự như key3.db, signons.sqlite, key4.db, và logins.json từ các thư mục hồ sơ người dùng.
Ngoài ra, công cụ này cũng sao chép các khóa mã hóa DPAPI (Data Protection API). Đây là các khóa mà hệ điều hành Windows sử dụng để bảo vệ dữ liệu người dùng, tăng cường khả năng giải mã dữ liệu bị đánh cắp.
Lệnh khởi chạy công cụ có thể có dạng tương tự như sau:
powershell.exe -NoProfile -ExecutionPolicy Bypass -File "C:\path\to\TomBerBil.ps1" -TargetComputers "C:\path\to\targets.txt"Script PowerShell xây dựng đường dẫn tới các tệp bằng cách tiếp cận sau:
$targetPath = "\\$computerName\C$\Users\$username\AppData\Local\Google\Chrome\User Data\Default\Login Data"
$localOutputPath = "C:\StolenData\$computerName\Chrome\LoginData"Tác Động Và Khả Năng Phát Hiện
Với các khóa bị đánh cắp và thông tin người dùng, những kẻ tấn công có thể giải mã tất cả dữ liệu trình duyệt trên hệ thống của chúng. Điều này bao gồm thông tin xác thực nhạy cảm, cho phép chúng truy cập sâu hơn vào các tài nguyên của tổ chức.
Các kết nối qua giao thức SMB khiến việc phát hiện xâm nhập trở nên khó khăn hơn. Trong nhiều môi trường, việc truy cập tệp mạng xuất hiện bình thường, làm giảm khả năng kích hoạt các cảnh báo bảo mật. Điều này cho phép ToddyCat APT hoạt động mà không bị cản trở trong thời gian dài.
Khả năng truy cập email công ty từ bên ngoài mạng bị xâm nhập cung cấp cho nhóm ToddyCat APT một kênh liên lạc ổn định và khó bị giám sát. Đây là một rủi ro đáng kể đối với an toàn thông tin của mọi doanh nghiệp. Sự tinh vi trong phương pháp này yêu cầu các biện pháp an ninh mạng mạnh mẽ và liên tục được cập nhật để chống lại các mối đe dọa tương tự.
