Cercetătorii în domeniul securității cibernetice de la Kaspersky au descoperit evoluții semnificative în activitățile grupului ToddyCat, un grup cu atacuri de tip APT (Advanced Persistent Threat), scoțând la iveală strategiile în continuă evoluție ale grupului, care introduc un nou set de loaders concepute pentru a le facilita operațiunile rău intenționate.
Mai mult, în timpul investigației a fost descoperit un nou set de malware implementat de ToddyCat: atacatorii îl folosesc pentru a colecta fișiere de interes și a le exfiltra pe servicii publice și legitime de găzduire a fișierelor. Aceste descoperiri evidențiază dificultățile tot mai mari implicate de spionajul cibernetic și adaptabilitatea grupurilor APT de a se sustrage de la detecție.
ToddyCat, un grup APT sofisticat care a atras atenția pentru prima dată în decembrie 2020 din cauza atacurilor sale importante asupra organizațiilor din Europa și Asia, continuă să fie o amenințare semnificativă. Inițial, raportul Kaspersky s-a concentrat pe instrumentele principale ale ToddyCat, Ninja Trojan și Samurai Backdoor, precum și pe anumite loadere folosite pentru a lansa aceste încărcături utile rău intenționate. De atunci, experții Kaspersky au creat semnături speciale pentru a monitoriza activitatea rău intenționată a grupului. Una dintre semnături a fost detectată pe un sistem, iar cercetătorii au început o nouă investigație care a dus la descoperirea noilor instrumente ToddyCat.
În ultimul an, cercetătorii Kaspersky au descoperit o nouă generație de loadere dezvoltate de ToddyCat, subliniind eforturile neobosite ale grupului de a-și perfecționa tehnicile de atac. Aceste loadere joacă un rol esențial în timpul fazei de infecție, permițând desfășurarea troianului Ninja. Interesant, ToddyCat înlocuiește ocazional anumite loadere standard cu o variantă personalizată pentru anumite sisteme țintă. Acest loader personalizat prezintă o funcționalitate similară, dar se distinge prin schema sa unică de criptare, care ia în considerare atributele specifice sistemului, cum ar fi modelul unității și GUID-ul de volum (identificator unic global).
Pentru a menține persistența pe termen lung pe sistemele compromise, ToddyCat folosește diverse tehnici, inclusiv crearea unei chei de înregistrare și a unui serviciu corespunzător. Acest lucru le confirmă funcționarea codului rău intenționat, fiind încărcat în timpul pornirii sistemului, o tactică care amintește de metodele de tip backdoor Samurai folosite de grup.
Investigația Kaspersky a descoperit instrumente și componente suplimentare utilizate de ToddyCat, inclusiv Ninja, un agent versatil cu funcții precum managementul proceselor, controlul sistemului de fișiere, sesiuni inverse shell, injectarea de cod și redirecționarea traficului în rețea. Ei folosesc, de asemenea, LoFiSe pentru a găsi anumite fișiere, DropBox Uploader pentru încărcarea datelor în Dropbox, Pcexter pentru exfiltrarea fișierelor de arhivă în OneDrive, un pasiv UDP Backdoor pentru persistență și CobaltStrike ca loader care comunică cu o anumită adresă URL, adesea facilitând implementarea Ninja. Aceste descoperiri dezvăluie setul extins de instrumente ToddyCat.
Aceste ultime descoperiri confirmă activitatea grupului ToddyCat și obiectivele sale de spionaj, ilustrând modul în care grupul se infiltrează în rețelele corporative, efectuează mișcări laterale și adună informații valoroase. ToddyCat utilizează o gamă largă de tactici, cuprinzând activități de descoperire, enumerarea domeniilor și mișcări laterale, toate cu accent pe atingerea obiectivelor lor de spionaj.
Pentru mai multe informații despre activitățile ToddyCat, vă rugăm să vizitați Securelist.com
Pentru a evita să deveniți victimele unui atac țintit din partea unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
• Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări (TI). Kaspersky Threat Intelligence este un singur punct de acces pentru TI al companiei, oferind date despre atacuri cibernetice și informații adunate de Kaspersky pe o perioadă de peste 20 de ani.
• Ajutați echipa de securitate cibernetică să se perfecționeze pentru a aborda cele mai recente amenințări vizate cu ajutorul cursurilor online Kaspersky, dezvoltate de experții GReAT.
• Pentru detectarea, investigarea și remedierea la timp a incidentelor la nivel endpoint, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response.
• Pe lângă adoptarea protecției esențiale la nivelul endpoint, implementați o soluție de securitate de nivel corporativ care detectează amenințările avansate la nivel de rețea într-un stadiu incipient, precum Kaspersky Anti Targeted Attack Platform.
• Deoarece multe atacuri vizate încep cu phishing sau alte tehnici de inginerie socială, introduceți cursuri de conștientizare a securității și oferiți posibilitatea echipei dumneavoastră de a învăța abilități practice esențiale – de exemplu, prin platforma Kaspersky Automated Security Awareness.