Un grup de amenințări persistente avansate (APT). cunoscut sub numele de ToddyCat colectează date la scară industrială de la ținte guvernamentale și de apărare din regiunea Asia-Pacific.

Cercetătorii de la Kaspersky care urmăresc campania l-au descris pe actorul amenințării săptămâna aceasta ca utilizând mai multe conexiuni simultane în mediile victimelor pentru a menține persistența și pentru a fura date de la acestea. Ei au descoperit, de asemenea, un set de instrumente noi pe care ToddyCat (care este un nume comun pentru Civetă asiatică de palmier) folosește pentru a activa colectarea datelor din sistemele și browserele victimei.

Tuneluri de trafic multiple în atacurile cibernetice ToddyCat

„Având mai multe tuneluri către infrastructura infectată implementate cu instrumente diferite, le permite atacatorilor să mențină accesul la sisteme chiar dacă unul dintre tuneluri este descoperit și eliminat”, au spus cercetătorii de securitate Kaspersky într-un postare pe blog săptămâna aceasta. „Prin securizarea accesului constant la infrastructură, atacatorii sunt capabili să efectueze recunoaștere și să se conecteze la gazde la distanță.”

ToddyCat este un probabil actor de amenințări vorbitor de limba chineză, pe care Kaspersky l-a reușit să îl conecteze cu atacuri care au început cel puțin în decembrie 2020. În fazele sale inițiale, grupul părea concentrat doar pe un număr mic de organizații din Taiwan și Vietnam. Dar actorul amenințării a intensificat rapid atacurile după dezvăluirea publică a așa-zisului Vulnerabilități ProxyLogon în Microsoft Exchange Server în februarie 2021. Kaspersky crede că ToddyCat ar fi putut fi printre un grup de actori de amenințări care au vizat vulnerabilitățile ProxyLogon chiar înainte de februarie 2021, dar spune că nu a găsit încă dovezi care să susțină această presupunere.  

În 2022, Kaspersky raportate găsirea actorilor ToddyCat folosind două noi instrumente malware sofisticate a numit Samurai și Ninja pentru a distribui China Chopper – un binecunoscut shell Web de marfă folosit în atacurile Microsoft Exchange Server – pe sistemele aparținând victimelor din Asia și Europa.

Menținerea accesului persistent, malware proaspăt

Cea mai recentă investigație a Kaspersky cu privire la activitățile ToddyCat a arătat că tactica actorului amenințării de a menține accesul persistent la distanță la o rețea compromisă este de a stabili mai multe tuneluri către aceasta folosind diferite instrumente. Acestea includ utilizarea unui tunel SSH invers pentru a obține acces la serviciile de rețea de la distanță; folosind SoftEther VPN, un instrument open source care permite conexiuni VPN prin OpenVPN, L2TP/IPSec și alte protocoale; și utilizarea unui agent ușor (Ngrok) pentru a redirecționa comanda și controlul dintr-o infrastructură cloud controlată de atacator către gazdele vizate din mediul victimei.

În plus, cercetătorii Kaspersky au descoperit că actorii ToddyCat folosesc un client proxy invers rapid pentru a permite accesul de pe Internet la servere din spatele unui firewall sau a unui mecanism de traducere a adresei de rețea (NAT).

Investigația Kaspersky a arătat, de asemenea, că actorul amenințării folosește cel puțin trei instrumente noi în campania sa de colectare a datelor. Unul dintre ele este malware-ul pe care Kaspersky l-a numit „Cuthead”, care îi permite lui ToddyCat să caute fișiere cu extensii sau cuvinte specifice în rețeaua victimei și să le stocheze într-o arhivă.

Un alt instrument nou pe care Kaspersky a găsit-o pe ToddyCat este „WAExp”. Sarcina malware-ului este să caute și să colecteze date de browser din versiunea web a WhatsApp. 

„Pentru utilizatorii aplicației web WhatsApp, stocarea locală a browserului lor conține detaliile profilului, datele de chat, numerele de telefon ale utilizatorilor cu care discută și datele sesiunii curente”, au spus cercetătorii Kaspersky. WAExp permite atacurilor să obțină acces la aceste date prin copierea fișierelor de stocare locale ale browserului, a remarcat furnizorul de securitate.  

Între timp, cel de-al treilea instrument este numit „TomBerBil” și le permite actorilor ToddyCat să fure parole din browserele Chrome și Edge.

„Am analizat mai multe instrumente care permit atacatorilor să mențină accesul la infrastructurile țintă și să caute și să colecteze automat date de interes”, a spus Kaspersky. „Atacatorii folosesc în mod activ tehnici pentru a ocoli apărarea în încercarea de a-și masca prezența în sistem.”

Furnizorul de securitate recomandă organizațiilor să blocheze adresele IP ale serviciilor cloud care oferă trafic tunel și să limiteze instrumentele pe care administratorii le pot folosi pentru a accesa gazde de la distanță. De asemenea, organizațiile trebuie să elimine sau să monitorizeze îndeaproape orice instrumente de acces la distanță neutilizate din mediu și să încurajeze utilizatorii să nu stocheze parolele în browsere, a spus Kaspersky.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-