Kaspersky dezvăluie evoluția tacticilor grupului ToddyCat APT în campaniile de spionaj cibernetic aflate în desfășurare

Cercetătorii în domeniul securității cibernetice de la Kaspersky au descoperit evoluții semnificative în activitățile grupului ToddyCat, un grup cu atacuri de tip APT (Advanced Persistent Threat), scoțând la iveală strategiile în continuă evoluție ale grupului, care introduc un nou set de loaders concepute pentru a le facilita operațiunile rău intenționate. Mai mult, în timpul investigației a fost descoperit un nou set de malware implementat de ToddyCat: atacatorii îl folosesc pentru a colecta fișiere de interes și a le exfiltra pe servicii publice și legitime de găzduire a fișierelor. Aceste descoperiri evidențiază dificultățile tot mai mari implicate de spionajul cibernetic și adaptabilitatea grupurilor APT de a se sustrage de la detecție.

ToddyCat, un grup APT sofisticat care a atras atenția pentru prima dată în decembrie 2020 din cauza atacurilor sale importante asupra organizațiilor din Europa și Asia, continuă să fie o amenințare semnificativă. Inițial, raportul Kaspersky s-a concentrat pe instrumentele principale ale ToddyCat, Ninja Trojan și Samurai Backdoor, precum și pe anumite loadere folosite pentru a lansa aceste încărcături utile rău intenționate. De atunci, experții Kaspersky au creat semnături speciale pentru a monitoriza activitatea rău intenționată a grupului. Una dintre semnături a fost detectată pe un sistem, iar cercetătorii au început o nouă investigație care a dus la descoperirea noilor instrumente ToddyCat.

În ultimul an, cercetătorii Kaspersky au descoperit o nouă generație de loadere dezvoltate de ToddyCat, subliniind eforturile neobosite ale grupului de a-și perfecționa tehnicile de atac. Aceste loadere joacă un rol esențial în timpul fazei de infecție, permițând desfășurarea troianului Ninja. Interesant, ToddyCat înlocuiește ocazional anumite loadere standard cu o variantă personalizată pentru anumite sisteme țintă. Acest loader personalizat prezintă o funcționalitate similară, dar se distinge prin schema sa unică de criptare, care ia în considerare atributele specifice sistemului, cum ar fi modelul unității și GUID-ul de volum (identificator unic global).

Pentru a menține persistența pe termen lung pe sistemele compromise, ToddyCat folosește diverse tehnici, inclusiv crearea unei chei de înregistrare și a unui serviciu corespunzător. Acest lucru le confirmă funcționarea codului rău intenționat, fiind încărcat în timpul pornirii sistemului, o tactică care amintește de metodele de tip backdoor Samurai folosite de grup.

Investigația Kaspersky a descoperit instrumente și componente suplimentare utilizate de ToddyCat, inclusiv Ninja, un agent versatil cu funcții precum managementul proceselor, controlul sistemului de fișiere, sesiuni inverse shell, injectarea de cod și redirecționarea traficului în rețea. Ei folosesc, de asemenea, LoFiSe pentru a găsi anumite fișiere, DropBox Uploader pentru încărcarea datelor în Dropbox, Pcexter pentru exfiltrarea fișierelor de arhivă în OneDrive, un pasiv UDP Backdoor pentru persistență și CobaltStrike ca loader care comunică cu o anumită adresă URL, adesea facilitând implementarea Ninja. Aceste descoperiri dezvăluie setul extins de instrumente ToddyCat.

Aceste ultime descoperiri confirmă activitatea grupului ToddyCat și obiectivele sale de spionaj, ilustrând modul în care grupul se infiltrează în rețelele corporative, efectuează mișcări laterale și adună informații valoroase. ToddyCat utilizează o gamă largă de tactici, cuprinzând activități de descoperire, enumerarea domeniilor și mișcări laterale, toate cu accent pe atingerea obiectivelor lor de spionaj.