ToddyCat: Yeni Siber Tehditlerin Yükselişi
ToddyCat adıyla bilinen tehdit aktörü, hedef aldığı şirketlerin kurumsal e-posta verilerine erişim sağlamak için yeni yöntemler geliştirmeye devam ediyor. Özellikle, TCSectorCopy adlı özel bir araç kullanarak e-posta bilgilerini elde etmeyi hedefliyor. Kaspersky’nin yaptığı açıklamalara göre, bu saldırı kullanıcıların tarayıcıları üzerinden OAuth 2.0 yetkilendirme protokolüne ait token’ları elde etmesine olanak tanıyor. Böylece, saldırganlar, ele geçirilen altyapının sınırları dışındaki kurumsal e-postalara erişim sağlıyor.
ToddyCat’ın Tarihçesi ve Hedefleri
ToddyCat, 2020 yılından bu yana aktif olduğu değerlendirilen bir siber saldırgan grubudur. Avrupa ve Asya’daki çeşitli kuruluşları hedef alarak bu kuruluşlardan çerez ve kimlik bilgilerini çalan farklı araçlar kullanmaktadır. Grup, Samurai ve TomBerBil gibi araçlar aracılığıyla sürekli erişim sağlamayı hedefliyor.
Yeni Saldırı Yöntemleri
ToddyCat, Nisan 2025’te ESET Command Line Scanner üzerindeki bir güvenlik açığını (CVE-2024-11859) kullanarak TCESB adı verilen yeni bir kötü amaçlı yazılım dağıttı. Kaspersky, 2024 Mayıs ile Haziran ayları arasında, daha önceki C++ ve C# versiyonlarına alternatif olarak gelişmiş bir PowerShell sürümü tespit etti. Bu sürüm, Mozilla Firefox’dan veri çıkarma yeteneklerine sahip olup, yetkili kullanıcı tarafından etki alanı denetleyicilerinde çalıştırılabiliyor.
TomBerBil ve Veri Çalma yöntemi
TomBerBil, uzaktaki ana makineden tarayıcı geçmişi, çerezler ve kaydedilmiş kimlik bilgilerini aramak üzere planlanmış görevler aracılığıyla başlatılmaktadır. Bu bilgilerin kopyalanan dosyaları, Windows Veri Koruma API’si (DPAPI) ile şifrelenmiştir. Ancak TomBerBil, verileri şifre çözmek için gerekli olan anahtarları da ele geçirebilecek yeteneklere sahiptir.
OST Dosyalarına Erişim ve TCSectorCopy
Tehdit aktörleri, TCSectorCopy aracı sayesinde Microsoft Outlook’ta yerel olarak depolanan OST dosyalarına erişim sağlıyor. Bu araç, dosyaların erişim kısıtlamalarını aşarak kurbanın sisteminden OST dosyalarını kopyalıyor. C++ ile yazılan TCSectorCopy, dosyaları sektör bazında kopyalayarak saldırganın belirlediği bir konuma yazıyor. Sonrasında, kopyalanan dosyaların içeriği XstReader adlı açık kaynaklı bir araçla çıkarılıyor.
Microsoft 365 Erişimi ve Token Ele Geçirme
ToddyCat, Microsoft 365 kullanan kurumlarda erişim token’larını doğrudan bellekten elde etmeye yönelik girişimlerde de bulunuyor. JSON web token’ları (JWT) almak için SharpTokenFinder adlı bir açık kaynak C# aracı kullanıyor. Ancak, güvenlik yazılımları, Outlook.exe süreçlerini araştırmalarını engellemiştir. Bu durumu aşmak için, ProcDump aracı kullanarak bellek dökümü almak zorunda kalmıştır.
Sonuç
ToddyCat siber saldırı grubu, sürekli olarak tekniklerini geliştirmekte ve aktifliklerini gizlemek için yeni yollar aramaktadır. Kurumsal e-posta yazışmalarına erişim sağlamak amacıyla kullanılan bu çeşitli yöntemler, daha geniş bir siber güvenlik tehditleri yelpazesi sunmaktadır. Şirketlerin, bu tür saldırılara karşı savunma önlemlerini güncellemeleri ve bilinçli olmaları kritik öneme sahiptir.
