Haker napredne persistentne prijetnje (APT) poznat kao ToddyCat povezan je s novim skupom malicioznih alata koji su dizajnirani za eksfiltraciju podataka, nudeći dublji uvid u taktike i mogućnosti hakerske ekipe.
Nalazi dolaze od kompanije Kaspersky, koja je prvi bacila svjetlo na ovog hakera prošle godine, povezujući ga s napadima na visokoprofilisane entitete u Evropi i Aziji u trajanju od skoro tri godine.
Dok se u arsenalu grupe istaknuto nalazi Ninja Trojan i backdoor pod nazivom Samurai, dalja istraga je otkrila cijeli novi skup malvera koji je razvio i održavao haker za postizanje postojanosti, obavljanje operacija s datotekama i učitavanje dodatnih payloada tokom rada.
Ovo uključuje kolekciju loadera koji dolazi sa mogućnostima za pokretanje Ninja Trojan kao druge faze, alat pod nazivom LoFiSe za pronalaženje i prikupljanje datoteka od interesa, DropBox uploader za spremanje ukradenih podataka u Dropbox i Pcexter za eksfiltriranje arhivskih datoteka u Microsoft OneDrive.
ToddyCat je također primijećen kako koristi prilagođene skripte za prikupljanje podataka, pasivni backdoor koji prima komande s UDP paketima, Cobalt Strike za post-eksploataciju i kompromitovane kredencijale domene da bi se olakšalo lateralno kretanje u cilju obavljanja svojih špijunskih aktivnosti.
„Uočili smo varijante skripte dizajnirane isključivo za prikupljanje podataka i kopiranje datoteka u određene fascikle, ali bez njihovog uključivanja u komprimovane arhive“, rekao je Kaspersky.
“U ovim slučajevima, haker je izvršio skriptu na udaljenom hostu koristeći standardnu tehniku udaljenog izvršavanja zadataka. Prikupljeni fajlovi su zatim ručno prebačeni na host za eksfiltraciju pomoću uslužnog programa xcopy i konačno komprimovani pomoću 7z binarnog sistema.”
Objava dolazi nakon što je Check Point otkrio da su vladini i telekomunikacioni subjekti u Aziji bili na meti kao dio tekuće kampanje od 2021. koristeći široku paletu nalvera za “jednokratnu upotrebu” kako bi izbjegli otkrivanje i isporučili zlonamjerni softver sljedeće faze.
Aktivnost se, prema firmi za kibernetičku sigurnost, oslanja na infrastrukturu koja se preklapa s onom koju koristi ToddyCat.
Izvor: The Hacker News