Kaspersky dezvaluie evolutia tacticilor grupului ToddyCat APT in campaniile de spionaj cibernetic aflate in desfasurare
calendar_month 12 Oct 2023, 13:31


Cercetatorii in domeniul securitatii cibernetice de la Kaspersky au descoperit evolutii semnificative in activitatile grupului ToddyCat, un grup cu atacuri de tip APT (Advanced Persistent Threat), scotand la iveala strategiile in continua evolutie ale grupului, care introduc un nou set de loaders concepute pentru a le facilita operatiunile rau intentionate. Mai mult, in timpul investigatiei a fost descoperit un nou set de malware implementat de ToddyCat: atacatorii il folosesc pentru a colecta fisiere de interes si a le exfiltra pe servicii publice si legitime de gazduire a fisierelor. Aceste descoperiri evidentiaza dificultatile tot mai mari implicate de spionajul cibernetic si adaptabilitatea grupurilor APT de a se sustrage de la detectie.

ToddyCat, un grup APT sofisticat care a atras atentia pentru prima data in decembrie 2020 din cauza atacurilor sale importante asupra organizatiilor din Europa si Asia, continua sa fie o amenintare semnificativa. Initial, raportul Kaspersky s-a concentrat pe instrumentele principale ale ToddyCat, Ninja Trojan si Samurai Backdoor, precum si pe anumite loadere folosite pentru a lansa aceste incarcaturi utile rau intentionate. De atunci, expertii Kaspersky au creat semnaturi speciale pentru a monitoriza activitatea rau intentionata a grupului. Una dintre semnaturi a fost detectata pe un sistem, iar cercetatorii au inceput o noua investigatie care a dus la descoperirea noilor instrumente ToddyCat.

In ultimul an, cercetatorii Kaspersky au descoperit o noua generatie de loadere dezvoltate de ToddyCat, subliniind eforturile neobosite ale grupului de a-si perfectiona tehnicile de atac. Aceste loadere joaca un rol esential in timpul fazei de infectie, permitand desfasurarea troianului Ninja. Interesant, ToddyCat inlocuieste ocazional anumite loadere standard cu o varianta personalizata pentru anumite sisteme tinta. Acest loader personalizat prezinta o functionalitate similara, dar se distinge prin schema sa unica de criptare, care ia in considerare atributele specifice sistemului, cum ar fi modelul unitatii si GUID-ul de volum (identificator unic global).

Pentru a mentine persistenta pe termen lung pe sistemele compromise, ToddyCat foloseste diverse tehnici, inclusiv crearea unei chei de inregistrare si a unui serviciu corespunzator. Acest lucru le confirma functionarea codului rau intentionat, fiind incarcat in timpul pornirii sistemului, o tactica care aminteste de metodele de tip backdoor Samurai folosite de grup.

Investigatia Kaspersky a descoperit instrumente si componente suplimentare utilizate de ToddyCat, inclusiv Ninja, un agent versatil cu functii precum managementul proceselor, controlul sistemului de fisiere, sesiuni inverse shell, injectarea de cod si redirectionarea traficului in retea. Ei folosesc, de asemenea, LoFiSe pentru a gasi anumite fisiere, DropBox Uploader pentru incarcarea datelor in Dropbox, Pcexter pentru exfiltrarea fisierelor de arhiva in OneDrive, un pasiv UDP Backdoor pentru persistenta si CobaltStrike ca loader care comunica cu o anumita adresa URL, adesea facilitand implementarea Ninja. Aceste descoperiri dezvaluie setul extins de instrumente ToddyCat.

Aceste ultime descoperiri confirma activitatea grupului ToddyCat si obiectivele sale de spionaj, ilustrand modul in care grupul se infiltreaza in retelele corporative, efectueaza miscari laterale si aduna informatii valoroase. ToddyCat utilizeaza o gama larga de tactici, cuprinzand activitati de descoperire, enumerarea domeniilor si miscari laterale, toate cu accent pe atingerea obiectivelor lor de spionaj.



Pentru mai multe informatii despre activitatile ToddyCat, va rugam sa vizitati Securelist.com

Pentru a evita sa deveniti victimele unui atac tintit din partea unui actor de amenintare cunoscut sau necunoscut, cercetatorii Kaspersky recomanda implementarea urmatoarelor masuri:

Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii despre amenintari (TI). Kaspersky Threat Intelligence este un singur punct de acces pentru TI al companiei, oferind date despre atacuri cibernetice si informatii adunate de Kaspersky pe o perioada de peste 20 de ani.

Ajutati echipa de securitate cibernetica sa se perfectioneze pentru a aborda cele mai recente amenintari vizate cu ajutorul cursurilor online Kaspersky, dezvoltate de expertii GReAT.

Pentru detectarea, investigarea si remedierea la timp a incidentelor la nivel endpoint, implementati solutii EDR, precum Kaspersky Endpoint Detection and Response.

Pe langa adoptarea protectiei esentiale la nivelul endpoint, implementati o solutie de securitate de nivel corporativ care detecteaza amenintarile avansate la nivel de retea intr-un stadiu incipient, precum Kaspersky Anti Targeted Attack Platform.

Deoarece multe atacuri vizate incep cu phishing sau alte tehnici de inginerie sociala, introduceti cursuri de constientizare a securitatii si oferiti posibilitatea echipei dumneavoastra de a invata abilitati practice esentiale – de exemplu, prin platforma Kaspersky Automated Security Awareness