ToddyCat: Neue Hackertools umgehen Microsoft 365-Sicherheit

Die Cyberangriffe werden raffinierter – und gefährlicher. Die APT-Gruppe ToddyCat setzt jetzt Werkzeuge ein, die Authentifizierungstokens direkt aus dem Arbeitsspeicher stehlen und damit klassische Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung aushebeln.

Wie das russische Sicherheitsunternehmen Kaspersky am Montag in einem technischen Bericht darlegte, haben die Angreifer ihre Strategie grundlegend verändert. Statt wie bisher kompromittierte Rechner zu überwachen, zielen sie nun direkt auf die Cloud-Infrastruktur ab. Die Methode: Sie extrahieren OAuth 2.0-Tokens aus dem Systemspeicher und verschaffen sich damit unbemerkt Zugang zu Firmen-E-Mail-Konten – ohne dass die üblichen Sicherheitsalarme ausgelöst werden.

ToddyCat setzt zwei maßgeschneiderte Werkzeuge ein, die das Bedrohungsniveau deutlich anheben: TCSectorCopy und SharpTokenFinder.

Wer E-Mails abgreifen will, steht normalerweise vor einem Problem: Outlook-Datendateien (.OST) lassen sich nicht einfach kopieren, solange die Anwendung läuft. Das Betriebssystem blockiert den Zugriff.

Moderne APT-Gruppen stehlen OAuth‑Tokens und umgehen so selbst Multi‑Faktor‑Authentifizierung – viele Unternehmen sind dafür nicht vorbereitet. Ein kostenloses E‑Book erklärt die aktuellen Cyber‑Security‑Trends, zeigt anhand von Praxisbeispielen, wie Angreifer Identitätsinfrastruktur ausnutzen, und nennt prioritäre Maßnahmen wie Session‑Analytics, Token‑Laufzeiten verkürzen und SMB‑Monitoring. Inklusive Checklisten und umsetzbarer Schritte, mit denen IT‑Verantwortliche Cloud‑Sitzungen besser überwachen können. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Hacker haben dafür eine elegante Lösung entwickelt. TCSectorCopy umgeht das Dateisystem komplett und liest stattdessen direkt die Festplattensektoren aus. Das C++-Tool klont die gesperrten Dateien auf niedrigster Ebene – weder Nutzer noch Betriebssystem bemerken etwas. Anschließend rekonstruieren die Angreifer mit Open-Source-Programmen wie XstReader die komplette E-Mail-Historie ihrer Opfer.

Der Schlüssel zur Cloud

Noch besorgniserregender ist SharpTokenFinder. Diese in C## programmierte Malware durchsucht den Arbeitsspeicher legitimer Microsoft 365-Anwendungen – etwa Outlook, Teams oder OneDrive – nach JSON Web Tokens.

Das Werkzeug fahndet in den Speicherabzügen nach der charakteristischen eyJ-Signatur, die OAuth 2.0-Tokens kennzeichnet. Einmal extrahiert, fungieren diese Tokens als digitale Generalschlüssel: Die Angreifer können sich damit als rechtmäßige Nutzer bei Microsofts Cloud-Diensten authentifizieren.

“Dieser Angriff ermöglicht es ihnen, Tokens für das OAuth 2.0-Autorisierungsprotokoll über den Browser des Nutzers zu erlangen, mit denen sie außerhalb der kompromittierten Infrastruktur auf Unternehmens-E-Mails zugreifen können”, erklärten die Kaspersky-Forscher in ihrer Analyse vom 24. November.

Unsichtbar für klassische Überwachung

Die Kampagne markiert einen strategischen Wandel in ToddyCats Vorgehensweise. Während frühere Angriffe darauf abzielten, dauerhaft auf infizierten Rechnern präsent zu bleiben, verlagern die gestohlenen OAuth-Tokens die Operation komplett in die Cloud.

Mit einem gültigen Token müssen die Angreifer nicht mehr mit dem infizierten Endgerät kommunizieren. Sie greifen einfach von ihrer eigenen Infrastruktur aus auf das Microsoft 365-Konto zu. Diese Technik macht Endpoint-Detection-Systeme praktisch blind für die nachfolgende Datenexfiltration – schließlich erscheint der Zugriff als legitime Nutzeraktivität.

Die Taktik deutet darauf hin, dass ToddyCat langfristigen, verdeckten Zugang zu Informationen höher priorisiert als unmittelbare Störungen. Selbst wenn die Malware entdeckt und vom Laptop entfernt wird, bleibt der Cloud-Zugang bestehen – bis das Token abläuft oder widerrufen wird.

Domänencontroller im Visier

Parallel zu den neuen E-Mail-Diebstahl-Tools identifizierten Sicherheitsforscher eine aktualisierte Variante von TomBerBil, ToddyCats bewährtem Browser-Credential-Stealer.

Die Mitte 2024 entdeckte Version ist ein PowerShell-Skript, das auf Domänencontrollern ausgeführt wird. Diese privilegierte Position ermöglicht Angriffe auf zahlreiche Systeme im Netzwerk gleichzeitig. Das Skript nutzt das Server Message Block-Protokoll (SMB), um per Fernzugriff Cookies, Browserverläufe und gespeicherte Zugangsdaten aus Chrome, Edge und Firefox zu extrahieren.

Besonders kritisch: Die Malware stiehlt auch die Master-Keys der Windows Data Protection API (DPAPI). Mit diesen Schlüsseln können die Angreifer die erbeuteten Browserdaten offline entschlüsseln und erhalten so Zugang zu Passwörtern und Session-Cookies für interne Firmenportale und externe Dienste.

Nationalstaatliche Spionage

ToddyCat tauchte erstmals 2020 auf und griff damals Microsoft Exchange-Server in Europa und Asien an. Experten gehen davon aus, dass hinter der Gruppe ein Nationalstaat steht, der auf Industrie- und Regierungsspionage spezialisiert ist.

“Die ToddyCat-APT-Gruppe entwickelt ihre Techniken ständig weiter und sucht nach Methoden, die ihre Aktivitäten beim Zugriff auf Unternehmenskorrespondenz verschleiern”, schreibt Kaspersky. Der Trend zu “Living-off-the-Land”-Techniken erschwert sowohl Zuordnung als auch Erkennung – die Hacker nutzen legitime Systemwerkzeuge wie ProcDump, um ihren Speicherdiebstahl zu verschleiern.

Diese Entwicklung spiegelt einen breiteren Branchentrend wider: Angreifer zielen zunehmend auf Identitätsinfrastrukturen ab – Tokens, Cookies und Session-IDs – statt auf Passwörter. Je mehr Organisationen Multi-Faktor-Authentifizierung einsetzen, desto attraktiver wird der Diebstahl von Post-Authentication-Tokens als Weg, diese Sicherheitskontrollen zu umgehen.

Gegenmaßnahmen dringend nötig

Die Entdeckung dieser Tools offenbart eine kritische Lücke in vielen Sicherheitskonzepten: die Annahme, dass Cloud-Daten sicher sind, solange die Endgeräte überwacht werden.

Sicherheitsexperten empfehlen, die Überwachung auf Verhaltensanalysen von Cloud-Sitzungen auszuweiten. Ungewöhnliche Zugriffsmuster – etwa wenn ein Nutzer unmittelbar nach Token-Ausstellung aus einem neuen Land oder von einer fremden IP-Adresse auf seine E-Mails zugreift – sollten automatische Alarme auslösen.

Zur unmittelbaren Schadensbegrenzung raten Verteidiger zu folgenden Maßnahmen:

• ProcDump-Nutzung überwachen: Befehlszeilenargumente im Auge behalten, die auf lsass.exe, outlook.exe oder andere Office-Prozesse zielen
• SMB-Verkehr auditieren: Ungewöhnliche SMB-Verbindungen zu administrativen Freigaben (etwa C$) von Nicht-Administrator-Workstations kennzeichnen
• Token-Laufzeiten verkürzen: Microsoft 365-Sitzungsrichtlinien so konfigurieren, dass die Lebensdauer von Zugriffstokens reduziert wird

Während ToddyCat sein Arsenal weiter verfeinert, dürfte die Branche mit weiteren Innovationen rechnen müssen, die darauf abzielen, lokale Kompromittierungen mit cloudnativer Spionage zu verbinden.

Übrigens: Wenn Angreifer Tokens aus dem Arbeitsspeicher extrahieren, reichen oft technische Einzelmaßnahmen nicht aus. Dieser Gratis‑Leitfaden fasst kompakt zusammen, welche organisatorischen Prioritäten und technischen Kontrollen (z. B. kürzere Token‑Laufzeiten, Session‑Analytics, SMB‑Auditing) jetzt sofort umgesetzt werden sollten, damit gestohlene Tokens keinen dauerhaften Zugang ermöglichen. Ideal für IT‑Leiter und CISOs, die ihre Cloud‑Sicherheit schnell stärken wollen. Kostenlosen Cyber-Security-Report jetzt sichern