Было замечено, что субъект угрозы, известный как ToddyCat, использует широкий спектр инструментов для сохранения доступа к скомпрометированным средам и кражи ценных данных.
Российская компания по кибербезопасности Kaspersky охарактеризовала злоумышленника как полагающегося на различные программы для сбора данных в "промышленных масштабах" в основном от правительственных организаций, некоторые из которых связаны с обороной, расположенных в Азиатско-Тихоокеанском регионе.
"Чтобы собирать большие объемы данных со многих хостов, злоумышленникам необходимо максимально автоматизировать процесс сбора данных и предоставить несколько альтернативных средств для постоянного доступа к системам, которые они атакуют, и мониторинга за ними", - сказали исследователи безопасности Андрей Гунькин, Александр Федотов и Наталья Шорникова.
ToddyCat был впервые задокументирован компанией в июне 2022 года в связи с серией кибератак, направленных на правительственные и военные структуры в Европе и Азии, по крайней мере, с декабря 2020 года. При этих вторжениях использовался пассивный бэкдор Samurai, который обеспечивает удаленный доступ к скомпрометированному хостингу.
С тех пор при более тщательном изучении методов взлома были обнаружены дополнительные инструменты для фильтрации данных, такие как LoFiSe и Pcexter, для сбора данных и загрузки архивных файлов в Microsoft OneDrive.
Новейший набор программ включает в себя сочетание программного обеспечения для сбора туннельных данных, которые используются после того, как злоумышленник уже получил доступ к привилегированным учетным записям пользователей в зараженной системе. Сюда входят -
- Обратный SSH-туннель с использованием OpenSSH
- SoftEther VPN, которая переименована в, казалось бы, безобидные файлы, такие как "boot.exe", ""mstime.exe"," "netscan.exe" и "kaspersky.exe"
- Ngrok и Krong шифруют и перенаправляют командно-контрольный трафик (C2) на определенный порт целевой системы
- FRP client, быстрый обратный прокси-сервер с открытым исходным кодом на базе Golang
- Cuthead, скомпилированный исполняемый файл .NET для поиска документов, соответствующих определенному расширению или имени файла, или дате их изменения
- WAExp, .NET-программа для сбора данных, связанных с веб-приложением WhatsApp, и сохранения их в виде архива, а также
- TomBerBil извлекает файлы cookie и учетные данные из веб-браузеров, таких как Google Chrome и Microsoft Edge
"Для защиты инфраструктуры организации мы рекомендуем добавлять в брандмауэр denylist ресурсы и IP-адреса облачных сервисов, обеспечивающих туннелирование трафика. Кроме того, необходимо потребовать от пользователей избегать хранения паролей в своих браузерах, поскольку это помогает злоумышленникам получить доступ к конфиденциальной информации."
