English
Cercetătorii în domeniul securităţii cibernetice de la Kaspersky au descoperit evoluţii semnificative în activităţile grupului ToddyCat, un grup cu atacuri de tip APT (Advanced Persistent Threat), scoţând la iveală strategiile în continuă evoluţie ale grupului, care introduc un nou set de loaders concepute pentru a le facilita operaţiunile rău intenţionate, conform unui comunicat de presă al companiei.
Mai mult, în timpul investigaţiei a fost descoperit un nou set de malware implementat de ToddyCat: atacatorii îl folosesc pentru a colecta fişiere de interes şi a le exfiltra pe servicii publice şi legitime de găzduire a fişierelor. Aceste descoperiri evidenţiază dificultăţile tot mai mari implicate de spionajul cibernetic şi adaptabilitatea grupurilor APT de a se sustrage de la detecţie.
ToddyCat, un grup APT sofisticat care a atras atenţia pentru prima dată în decembrie 2020 din cauza atacurilor sale importante asupra organizaţiilor din Europa şi Asia, continuă să fie o ameninţare semnificativă. Iniţial, raportul Kaspersky s-a concentrat pe instrumentele principale ale ToddyCat, Ninja Trojan şi Samurai Backdoor, precum şi pe anumite loadere folosite pentru a lansa aceste încărcături utile rău intenţionate. De atunci, experţii Kaspersky au creat semnături speciale pentru a monitoriza activitatea rău intenţionată a grupului. Una dintre semnături a fost detectată pe un sistem, iar cercetătorii au început o nouă investigaţie care a dus la descoperirea noilor instrumente ToddyCat.
În ultimul an, cercetătorii Kaspersky au descoperit o nouă generaţie de loadere dezvoltate de ToddyCat, subliniind eforturile neobosite ale grupului de a-şi perfecţiona tehnicile de atac. Aceste loadere joacă un rol esenţial în timpul fazei de infecţie, permiţând desfăşurarea troianului Ninja. Interesant, ToddyCat înlocuieşte ocazional anumite loadere standard cu o variantă personalizată pentru anumite sisteme ţintă. Acest loader personalizat prezintă o funcţionalitate similară, dar se distinge prin schema sa unică de criptare, care ia în considerare atributele specifice sistemului, cum ar fi modelul unităţii şi GUID-ul de volum (identificator unic global).
Pentru a menţine persistenţa pe termen lung pe sistemele compromise, ToddyCat foloseşte diverse tehnici, inclusiv crearea unei chei de înregistrare şi a unui serviciu corespunzător. Acest lucru le confirmă funcţionarea codului rău intenţionat, fiind încărcat în timpul pornirii sistemului, o tactică care aminteşte de metodele de tip backdoor Samurai folosite de grup.
Investigaţia Kaspersky a descoperit instrumente şi componente suplimentare utilizate de ToddyCat, inclusiv Ninja, un agent versatil cu funcţii precum managementul proceselor, controlul sistemului de fişiere, sesiuni inverse shell, injectarea de cod şi redirecţionarea traficului în reţea. Ei folosesc, de asemenea, LoFiSe pentru a găsi anumite fişiere, DropBox Uploader pentru încărcarea datelor în Dropbox, Pcexter pentru exfiltrarea fişierelor de arhivă în OneDrive, un pasiv UDP Backdoor pentru persistenţă şi CobaltStrike ca loader care comunică cu o anumită adresă URL, adesea facilitând implementarea Ninja. Aceste descoperiri dezvăluie setul extins de instrumente ToddyCat.
Aceste ultime descoperiri confirmă activitatea grupului ToddyCat şi obiectivele sale de spionaj, ilustrând modul în care grupul se infiltrează în reţelele corporative, efectuează mişcări laterale şi adună informaţii valoroase. ToddyCat utilizează o gamă largă de tactici, cuprinzând activităţi de descoperire, enumerarea domeniilor şi mişcări laterale, toate cu accent pe atingerea obiectivelor lor de spionaj.
Pentru mai multe informaţii despre activităţile ToddyCat, vă rugăm să vizitaţi Securelist.com
Pentru a evita să deveniţi victimele unui atac ţintit din partea unui actor de ameninţare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
Oferiţi echipei dumneavoastră SOC acces la cele mai recente informaţii despre ameninţări (TI). Kaspersky Threat Intelligence este un singur punct de acces pentru TI al companiei, oferind date despre atacuri cibernetice şi informaţii adunate de Kaspersky pe o perioadă de peste 20 de ani.
Ajutaţi echipa de securitate cibernetică să se perfecţioneze pentru a aborda cele mai recente ameninţări vizate cu ajutorul cursurilor online Kaspersky, dezvoltate de experţii GReAT.
Pentru detectarea, investigarea şi remedierea la timp a incidentelor la nivel endpoint, implementaţi soluţii EDR, precum Kaspersky Endpoint Detection and Response.
Pe lângă adoptarea protecţiei esenţiale la nivelul endpoint, implementaţi o soluţie de securitate de nivel corporativ care detectează ameninţările avansate la nivel de reţea într-un stadiu incipient, precum Kaspersky Anti Targeted Attack Platform.
Deoarece multe atacuri vizate încep cu phishing sau alte tehnici de inginerie socială, introduceţi cursuri de conştientizare a securităţii şi oferiţi posibilitatea echipei dumneavoastră de a învăţa abilităţi practice esenţiale
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
