1作者: redmug2 个月前原帖
Toddycat 威胁行为者被确认使用新技术来获取目标公司的企业邮箱信息,例如一种名为 TCSectorCopy 的自制工具。根据卡巴斯基的说法,这种攻击旨在获取通过用户浏览器生成的 OAuth 2.0 授权协议的令牌,这些令牌可以在被攻陷的基础设施外围使用,以访问企业邮箱。 Toddycat 自 2020 年以来被认为一直在活动,记录显示其攻击了众多位于欧洲和亚洲的公司,使用了多种工具,如 Samurai 和 TomBerBil,以保持连接并窃取 Google Chrome 和 Microsoft Edge 等网页浏览器的 Cookies 和凭证。