“`json
{
“title”: “ToddyCat APTが組織内コミュニケーションを標的に、高度な攻撃手法が明らかに”,
“content”: “
はじめに:ToddyCat APTの脅威
高度な持続的脅威(APT)グループは、企業コミュニケーションを侵害するために洗練された技術を開発し続けており、ToddyCat APTはその運用能力において顕著な進化を遂げています。Kasperskyによる最近の調査で、この高度に組織化されたスパイグループが、2024年後半から2025年初頭にかけて、標的組織の内部従業員コミュニケーションに秘密裏にアクセスする手法をどのように洗練させてきたかが明らかになりました。
メールは世界中の企業にとってビジネス通信の基盤であり、Microsoft Exchange Serverのような社内インフラや、Microsoft 365、Gmailのようなクラウドベースのサービスを通じて提供されています。組織はしばしば、クラウドサービスが優れた機密性保護を提供し、内部システムが侵害されてもメールデータは会社インフラ外に保たれると仮定しますが、ToddyCatグループはこの仮定が危険なほど誤っていることを証明しました。彼らの最新の攻撃ベクトルは、クラウドホスト型コミュニケーションであっても、標的ネットワーク内に足場を確立した決意の固い脅威アクターに対しては脆弱であることを示しています。
攻撃手法の進化:TomBerBilツールのPowerShell化
ToddyCatは、以前C#とC++で書かれていたツールキット「TomBerBil」を大幅にアップグレードしました。2024年5月と6月に発生したインシデントで発見された新しいPowerShellバリアントは、特権アクセスを持つドメインコントローラー上で実行され、SMBプロトコルを介してネットワーク全体でブラウザファイルをリモートで標的にします。
この改良されたTomBerBilは、ユーザーワークステーションからChrome、Edge、そして新たにサポートされたFirefoxブラウザのクッキー、保存されたパスワード、閲覧履歴を体系的に収集します。このPowerShellツールは、設定ファイルからホスト名を読み取り、ネットワーク共有へのSMB接続を確立し、以下の重要なブラウザファイルを抽出します。
- 暗号化された資格情報を含む「Login Data」データベース
- 復号化キーを含む「Local State」ファイル
- 「Cookies」データベース
さらに重要なことに、このツールはユーザープロファイルに保存されているDPAPI暗号化キーもコピーし、攻撃者が被害者のSIDとパスワードを使用して盗んだすべてのブラウザデータをオフラインで復号化できるようにします。このネットワークベースのアプローチは、以前のバージョンが侵害されたホストで直接実行されていた場合と比較して、検出を大幅に困難にします。
Outlook OSTファイルへの直接攻撃
ブラウザを標的とする技術がセキュリティ監視の注意を引くようになると、ToddyCatは企業のメールが保存されているOutlookのOSTファイルを直接標的に切り替えました。これらのオフラインストレージテーブル(OST)ファイルは、オフラインアクセス用にメールボックスの完全なコピーをキャッシュしますが、Outlookが実行されている間はロックされたままになります。この保護を克服するため、攻撃者は専用の32ビットツール「TCSectorCopy」(C++で書かれている)を展開しました。これはハードウェアレベルでセクターごとのディスク読み取りを実行します。
TCSectorCopyは、ディスクデバイスを読み取りモードで直接開くことにより、標準のWindowsファイルアクセスAPIをバイパスし、ファイルの内容を順次コピーします。これにより、アプリケーションレベルのロックを効果的に回避します。OSTファイルを抽出した後、攻撃者はオープンソースのC#ユーティリティ「XstReader」を使用してそれらを処理し、メールメッセージと添付ファイルを分析のためにHTML、RTF、またはテキスト形式にエクスポートします。この組み合わせにより、アプリケーションが通常どおり実行されている間に、メールボックス全体が完全に流出する可能性があります。
Microsoft 365環境のOAuthトークン窃盗
ToddyCatの最も洗練された進化は、アプリケーションメモリからOAuth 2.0アクセストークンを窃取することでMicrosoft 365環境を標的にすることです。C#で書かれた「SharpTokenFinder」を使用し、攻撃者はTeams、Outlook、Word、Excel、その他のMicrosoft 365アプリケーションのプロセスを特定し、JWTトークンを含むメモリダンプを作成します。これらのトークンは、MicrosoftクラウドサービスへのAPIリクエストを認証するbase64エンコードされた認証情報をエンコードしています。
エンドポイント保護がSharpTokenFinderの試行をブロックすると、オペレーターは正当なSysinternalsの「ProcDump」ユーティリティに切り替え、Outlookや他のOfficeアプリケーションの完全なプロセスダンプを作成しました。抽出されたアクセストークンは一時的ではあるものの、オンプレミスの監視システムをトリガーすることなく、Microsoft 365クラウドインフラからメールボックス全体を取得するのに十分な時間を提供します。
検出と対策
ToddyCatの進化する技術に対抗するには、包括的な監視と対策が必要です。組織は以下の対策を講じるべきです。
- ブラウザフォルダアクセス監査:ネットワークプロトコルを介したブラウザフォルダへのアクセスについて監査を実施し、機密性の高いChrome、Firefox、EdgeのデータディレクトリへのSMB接続を示すWindowsイベントID 5145を監視します。
- DPAPI暗号化キーの監視:DPAPI暗号化キーフォルダへのアクセスは警告をトリガーすべきです。
- ディスクアクセス監視:OSTファイルを標的とする生ディスクアクセス試行をSysmonイベントID 9で検出します。
- コマンドライン監視:Office 365プロセス名に対するProcDumpの実行をコマンドラインで監視し、トークン窃盗の試行を把握します。
Kasperskyは、ToddyCatの進化する技術に効果的に対抗するために、最新の脅威インテリジェンスを備えたエンドポイント保護と高度な脅威監視プラットフォームの両方を展開することを推奨しています。
”
}
“`”
}
“`