進階持續性威脅（APT）組織ToddyCat已被卡巴斯基偵測到採取了針對性的新攻擊手法，以獲取目標公司儲存在本地及雲端的企業電子郵件數據和Microsoft 365存取令牌。該組織自2020年活躍以來，持續針對歐亞地區的組織，其最新的戰術體現了攻擊者為規避現有安全邊界所做出的戰略升級。卡巴斯基在技術分析報告中揭露，ToddyCat開始使用名為TCSectorCopy的自訂工具和PowerShell版本的TomBerBil，以實現對關鍵資料的竊取，特別是OAuth 2.0授權協議的令牌。

這種攻擊策略的威脅在於，攻擊者能利用用戶瀏覽器獲取OAuth 2.0令牌，進而可以在被入侵的基礎設施邊界之外使用，持續訪問公司郵件，這使得傳統的周邊防禦形同虛設。在2024年5月至6月間的攻擊中，卡巴斯基偵測到了PowerShell版本的TomBerBil（而非先前標記的C++和C#版本），該版本能夠從Mozilla Firefox等瀏覽器中提取歷史紀錄、Cookies和保存的憑證。此版本的一個顯著特點是，它以特權使用者身分在網域控制站上運行，並可透過SMB協定存取共用網路資源上的瀏覽器檔案。惡意軟體則是透過執行PowerShell命令的計劃任務啟動的。TomBerBil還具備捕獲Windows資料保護API（DPAPI）密鑰的能力，用以解密竊取到的加密資料。此外，攻擊者還利用C++編寫的TCSectorCopy（xCopy.exe），透過磁區複製的方式，繞過存取限制，竊取本機Microsoft Outlook儲存的OST文件，隨後使用開源工具XstReader提取電子郵件內容。當組織使用Microsoft 365雲服務時，ToddyCat則利用SharpTokenFinder或ProcDump從記憶體直接獲取JSON網頁令牌（JWT），以規避終端安全軟體的阻擋。ToddyCat APT的持續演進，要求企業必須實施多層次的縱深防禦。

根據報導中 ToddyCat APT 最新攻擊手法與工具，組織需要考慮的技術防護措施，包括入侵檢測／預防、憑證管理、持續監控、補丁與硬化等：

1. 強化終端與網域控制器安全

• 限制 PowerShell 執行與腳本執行策略，封鎖惡意PowerShell 任務
• 封鎖 SMB 共享遠端讀取與計劃任務橫向移動，透過 GPO 禁用管理共享（如 \C$、ADMIN$），並針對非授權帳號設定 Deny ACL

2. 強化瀏覽器憑證與 DPAPI 保護

• 啟用 DPAPI 密鑰存取的日誌監控，搭配 EDR 記錄解密行為
• 設定警示，偵測憑證存取異常行為（針對 Chrome、Edge、Firefox），並監控 xcopy、磁區複製等工具操作

3. 監控與封鎖惡意工具與後門行為

• 落實 SIEM 規則，偵測 Samurai、Ninja、TomBerBil、TCESB、WAExp 等惡意模組行為
• 行為式 IDS/EDR 規則，檢測 netsh 開啟防火牆規則、xcopy 讀取磁區、7-Zip 壓縮等指令

4. 強化初始防禦與橫向移動阻隔

• 定期更新 Exchange、ESET 等高風險元件，並針對已知 CVE 儘快部署修補
• 實施最少權限原則，禁止特權帳號弱本地和網埠登入，並安排管理帳號多層認證

5. 加強網路層與 C2 活動監控

• 封鎖不必要的 TCP/UDP 端口，尤其針對 VPN、反彈 SSH 和 Ngrok 類服務
• 啟用 DNS over HTTPS/TLS 政策，防止域名解析繞過及避開 C2 通道

6. 資料外洩檔案控管與雲端用途

• 阻擋 xcopy 或 Dropbox 上傳行為，端點可運用 DLP 策略，防止 7-Zip 壓縮與外傳
• 實施全碟加密與 EFS，保護 OST 檔與敏感資料免遭竊取

7. 強化檢測／回應與攻擊樣板隔離

• 部署 RASP 並進行模擬攻防測試，提升檢測品質
• 將 IOCs（惡意檔案 Hash、C2、Registry 路徑）導入 SIEM，並更新防火牆黑名單

總體而言，ToddyCat的最新策略表明APT攻擊正從單純的滲透轉向複雜的內部橫向移動與數據竊取鏈條，並特別瞄準身份驗證令牌和關鍵應用程式數據。組織必須超越傳統的邊界防禦思維，著重於網域控制器、終端憑證系統（DPAPI）的強化，並實施以行為為基礎的持續監控與自動化應變能力，以有效應對這種持續發展的高階威脅。