حقائق سريعة

• تستهدف مجموعة ToddyCat APT الاتصالات الداخلية للموظفين في الشبكات السحابية والمحلية.
• أداة PowerShell الجديدة للمجموعة تجمع كلمات مرور المتصفح وملفات تعريف الارتباط من جميع أنحاء الشبكة.
• أدوات متخصصة تستخرج بيانات البريد الإلكتروني مباشرة من Outlook وMicrosoft 365، متجاوزة إجراءات الحماية المعتادة.
• يسرق المهاجمون رموز المصادقة للوصول إلى صناديق البريد السحابية دون أن يتم اكتشافهم.
• يوصي خبراء الأمن بمراقبة محسنة للوصول إلى المتصفح والقرص والرموز لاكتشاف هذه الهجمات.

الوجه الجديد للتجسس المؤسسي

تخيل خزانة بريد شركتك الإلكتروني: مغلقة، محروسة، وتطفو في السحب الرقمية أعلاه. الآن تخيل لصًا ماهرًا لا يفتح الأقفال فحسب، بل يتسلل أيضًا عبر فتحات التهوية دون أن يترك أثراً. هذه هي الحقيقة المتطورة للمنظمات المستهدفة من قبل ToddyCat، مجموعة التجسس السيبراني المتقدمة التي تعيد كتابة قواعد الاختراق الرقمي في حملتها الأخيرة.

أصبحت ToddyCat، التي سلط عليها باحثو الأمن السيبراني الضوء في السنوات الأخيرة، مشهورة بسعيها الدؤوب وراء الاتصالات الداخلية الحساسة. في عام 2024 وحتى 2025، كشفت هذه المجموعة عن ترسانة جديدة من أدوات الهجوم، صممت كل واحدة منها لسحب رسائل البريد الإلكتروني وكلمات المرور والأسرار الأخرى بهدوء - حتى عندما تعتقد الشركات أن بياناتها مؤمنة في السحابة.

اختراق حاجز المتصفح

تبدأ الموجة الأولى من هجوم ToddyCat ليس بالقوة الغاشمة، بل بالمكر. باستخدام مجموعة أدوات مجددة تسمى TomBerBil - مزودة الآن بإصدار PowerShell خفي - يجتاح المهاجمون شبكات الشركات، مستهدفين ليس جهازاً واحداً فقط، بل العديد دفعة واحدة. تقرأ أداتهم قائمة الحواسيب، وتتصل بها عبر الشبكة، وتسرق بصمت ملفات تعريف الارتباط وكلمات المرور المحفوظة وسجلات التصفح من Chrome وEdge وFirefox. ومن خلال نسخ مفاتيح التشفير الخاصة المخزنة مع كل ملف تعريف مستخدم، يمكن لـ ToddyCat لاحقًا فك هذه الأسرار المسروقة في مختبراتهم، بعيدًا عن الأعين.

تتفادى هذه الطريقة بذكاء الفخاخ المعتادة التي تضعها فرق الأمن، حيث تتم الهجمات عن بُعد وليس على جهاز الضحية نفسه. إنها كأن لصًا يفرغ مجمع شقق كامل من غرفة التحكم الرئيسية للمبنى.

فتح خزنة Outlook - وخزنة السحابة أيضًا

عندما بدأ المدافعون بمراقبة سرقة بيانات المتصفح، غيرت ToddyCat تكتيكها. نشرت أداة TCSectorCopy المصممة خصيصًا لقراءة ملفات صندوق بريد Outlook مباشرة من القرص الصلب - even عندما يحاول Outlook إبقاءها مقفلة. وبالاقتران مع XstReader، تتيح هذه المجموعة للقراصنة نسخ وقراءة كل رسالة بريد إلكتروني ومرفق بهدوء، بينما تستمر الأعمال كالمعتاد.

وربما الأكثر إثارة للقلق هو أحدث سرقة سحابية لـ ToddyCat: سرقة "رموز الوصول" المؤقتة من ذاكرة تطبيقات Microsoft 365 مثل Teams وOutlook وWord. تعمل هذه الرموز كبطاقات ضيافة، مما يسمح للقراصنة بتنزيل صناديق البريد السحابية بالكامل قبل أن يلاحظ أحد. وعندما تمنع برامج الأمان أدواتهم المصنوعة يدويًا، يستخدم ToddyCat ببساطة أدوات الإدارة الموثوقة مثل ProcDump للحصول على ما يريدون - حيلة تجعل نشاطهم يندمج مع أعمال تكنولوجيا المعلومات العادية.

رهانات عالمية ودروس مستفادة

بينما لم يتم الكشف بالكامل عن أهداف ToddyCat، فإن أساليبهم تعكس تلك المستخدمة في حملات التجسس السيبراني البارزة ضد الحكومات وشركات التكنولوجيا حول العالم. من خلال مهاجمة أنظمة البريد الإلكتروني التقليدية والسحابية، تكشف ToddyCat حقيقة قاسية: لا يوجد خزانة رقمية آمنة حقًا دون دفاع يقظ ومتعدد الطبقات. ويحث خبراء الأمن الآن المؤسسات على مراقبة ليس فقط الاختراقات الواضحة، بل أيضًا العلامات الدقيقة - مثل الوصول غير المعتاد إلى بيانات المتصفح أو الاستخدام المفاجئ لأدوات نسخ الأقراص - التي قد تشير إلى وجود متسلل صامت.

ويكيكروك

• التهديد المتقدم المستمر (APT): التهديد المتقدم المستمر هو هجوم سيبراني طويل الأمد ومستهدف من قبل مجموعات ماهرة، غالبًا مدعومة من دول، تهدف إلى سرقة البيانات أو تعطيل العمليات.
• PowerShell: PowerShell هي أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن غالبًا ما يستغلها المهاجمون لتنفيذ أعمال خبيثة بشكل خفي.
• بروتوكول SMB: يتيح بروتوكول SMB لأجهزة الكمبيوتر مشاركة الملفات والموارد عبر الشبكة، لكنه قد يُستغل من قبل القراصنة إذا لم يُؤمن بشكل صحيح.
• ملف OST: يخزن ملف OST بيانات صندوق بريد Outlook محليًا، مما يسمح للمستخدمين بالوصول إلى البريد الإلكتروني وإدارته دون اتصال ومزامنة التغييرات عند إعادة الاتصال.
• رمز وصول OAuth 2.0: رمز وصول OAuth 2.0 هو تصريح رقمي مؤقت يتيح للمستخدمين الوصول إلى الخدمات السحابية دون إعادة إدخال كلمات المرور، مما يسهل الوصول الآمن.