Haker poznat kao ToddyCat je primijećen kako koristi širok spektar alata za zadržavanje pristupa ugroženim okruženjima i krađu vrijednih podataka.
Ruska firma za sajber sigurnost Kaspersky okarakterisala je protivnika da se oslanja na različite programe za prikupljanje podataka u “industrijskoj mjeri” od prvenstveno vladinih organizacija, od kojih su neke vezane za odbranu, a koje se nalaze u azijsko-pacifičkom regionu.
„Da bi prikupili velike količine podataka sa mnogih hostova, napadači moraju da automatizuju proces prikupljanja podataka što je više moguće i da obezbjede nekoliko alternativnih sredstava za kontinuisan pristup i nadgledanje sistema koje napadaju“, rekli su istraživači bezbjednosti Andrej Gunkin, Aleksandar Fedotov i Natalija Šornikova.
Kompanija je prvi put dokumentovala ToddyCat u junu 2022. godine u vezi sa nizom sajber napada usmjerenih na vladine i vojne subjekte u Evropi i Aziji od najmanje decembra 2020. godine. Ovi upadi su koristili pasivni backdoor pod nazivom Samurai koji omogućava daljinski pristup kompromitovanom hostu.
Detaljnije ispitivanje umijeća hakera od tada je otkrilo dodatne alate za eksfiltraciju podataka kao što su LoFiSe i Pcexter za prikupljanje podataka i otpremanje arhivskih datoteka na Microsoft OneDrive.
Najnoviji set programa uključuje kombinaciju softvera za prikupljanje podataka za tuneliranje, koji se stavljaju u upotrebu nakon što je napadač već dobio pristup privilegovanim korisničkim nalozima u zaraženom sistemu. Ovo uključuje:
- Obrnuti SSH tunel koristeći OpenSSH
- SoftEther VPN, koji je preimenovan u naizgled bezazlene fajlove poput “boot.exe”,
- “mstime.exe”, “netscan.exe” i “kaspersky.exe”
- Ngrok i Krong za šifriranje i preusmjeravanje komandno-kontrolnog (C2) prometa na određeni port na ciljnom sistemu
- FRP klijent, open-source brzi reverzni proxy baziran na Golangu
- Cuthead, .NET kompajlirana izvršna datoteka za traženje dokumenata koji odgovaraju određenoj ekstenziji ili imenu datoteke, ili datumu kada su modifikovani
- WAExp, .NET program za hvatanje podataka povezanih s web aplikacijom WhatsApp i njihovo spremanje kao arhivu
- TomBerBil za izdvajanje kolačića i kredencijala iz web preglednika kao što su Google Chrome i Microsoft Edge
Održavanje više istovremenih veza od zaraženih krajnjih tačaka do infrastrukture koju kontrolišu hakeri pomoću različitih alata smatra se rezervnim mehanizmom i načinom zadržavanja pristupa u slučajevima kada je jedan od tunela otkriven i uklonjen.
„Napadači aktivno koriste tehnike da zaobiđu odbranu u pokušaju da prikriju svoje prisustvo u sistemu“, rekao je Kaspersky.
“Kako bismo zaštitili infrastrukturu organizacije, preporučujemo da se na firewall denylist dodaju resursi i IP adrese usluga u oblaku koje pružaju tuneliranje saobraćaja. Osim toga, od korisnika se mora zahtijevati da izbjegavaju pohranjivanje lozinki u svojim pretraživačima, jer to pomaže napadačima da pristupe osjetljivim informacijama .”
Izvor: The Hacker News
