Site icon Kiber.ba

Istraživači su predstavili ToddyCat-ov novi set alata za eksfiltraciju podataka

Istraživači su predstavili ToddyCat-ov novi set alata za eksfiltraciju podataka - Kiber.ba

Istraživači su predstavili ToddyCat-ov novi set alata za eksfiltraciju podataka - Kiber.ba

Haker napredne persistentne prijetnje (APT) poznat kao ToddyCat povezan je s novim skupom malicioznih alata koji su dizajnirani za eksfiltraciju podataka, nudeći dublji uvid u taktike i mogućnosti hakerske ekipe.

Nalazi dolaze od kompanije Kaspersky, koja je prvi bacila svjetlo na ovog hakera prošle godine, povezujući ga s napadima na visokoprofilisane entitete u Evropi i Aziji u trajanju od skoro tri godine.

Dok se u arsenalu grupe istaknuto nalazi Ninja Trojan i backdoor pod nazivom Samurai, dalja istraga je otkrila cijeli novi skup malvera koji je razvio i održavao haker za postizanje postojanosti, obavljanje operacija s datotekama i učitavanje dodatnih payloada tokom rada.

Ovo uključuje kolekciju loadera koji dolazi sa mogućnostima za pokretanje Ninja Trojan kao druge faze, alat pod nazivom LoFiSe za pronalaženje i prikupljanje datoteka od interesa, DropBox uploader za spremanje ukradenih podataka u Dropbox i Pcexter za eksfiltriranje arhivskih datoteka u Microsoft OneDrive.

ToddyCat je također primijećen kako koristi prilagođene skripte za prikupljanje podataka, pasivni backdoor koji prima komande s UDP paketima, Cobalt Strike za post-eksploataciju i kompromitovane kredencijale domene da bi se olakšalo lateralno kretanje u cilju obavljanja svojih špijunskih aktivnosti.

„Uočili smo varijante skripte dizajnirane isključivo za prikupljanje podataka i kopiranje datoteka u određene fascikle, ali bez njihovog uključivanja u komprimovane arhive“, rekao je Kaspersky.

“U ovim slučajevima, haker je izvršio skriptu na udaljenom hostu koristeći standardnu ​​tehniku ​​udaljenog izvršavanja zadataka. Prikupljeni fajlovi su zatim ručno prebačeni na host za eksfiltraciju pomoću uslužnog programa xcopy i konačno komprimovani pomoću 7z binarnog sistema.”

Objava dolazi nakon što je Check Point otkrio da su vladini i telekomunikacioni subjekti u Aziji bili na meti kao dio tekuće kampanje od 2021. koristeći široku paletu nalvera za “jednokratnu upotrebu” kako bi izbjegli otkrivanje i isporučili zlonamjerni softver sljedeće faze.

Aktivnost se, prema firmi za kibernetičku sigurnost, oslanja na infrastrukturu koja se preklapa s onom koju koristi ToddyCat.

Izvor: The Hacker News

Exit mobile version