Gelişmiş Kalıcı Tehdit (APT) aktörü olarak bilinen ToddyCat veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
bulgular Düşmana ilk kez geçen yıl ışık tutan ve onu yaklaşık üç yıldır Avrupa ve Asya’daki yüksek profilli kuruluşlara yönelik saldırılarla ilişkilendiren Kaspersky’den geliyor.
Grubun cephaneliğinde belirgin bir şekilde Ninja Truva atı ve Samurai adında bir arka kapı bulunurken, daha ileri araştırmalar, kalıcılık sağlamak, dosya işlemlerini yürütmek ve çalışma zamanında ek yükler yüklemek için aktör tarafından geliştirilen ve sürdürülen tamamen yeni bir kötü amaçlı yazılım kümesini ortaya çıkardı.
Bu, ikinci aşama olarak Ninja Truva Atı’nı başlatma yetenekleriyle birlikte gelen bir yükleyici koleksiyonundan, ilgilenilen dosyaları bulup toplamak için LoFiSe adlı bir araçtan, çalınan verileri Dropbox’a kaydetmek için bir DropBox yükleyicisinden ve arşiv dosyalarını Microsoft’a sızdırmak için Pcexter’dan oluşur. OneDrive.
ToddyCat’in ayrıca veri toplamak için özel komut dosyaları, UDP paketleriyle komutları alan pasif bir arka kapı, istismar sonrası için Cobalt Strike ve casusluk faaliyetlerini sürdürmek amacıyla yanal hareketi kolaylaştırmak için güvenliği ihlal edilmiş alan adı yöneticisi kimlik bilgilerini kullandığı da gözlemlendi.
Kaspersky, “Yalnızca veri toplamak ve dosyaları belirli klasörlere kopyalamak için tasarlanmış, ancak bunları sıkıştırılmış arşivlere dahil etmeyen komut dosyası türlerini gözlemledik” dedi.
“Bu durumlarda aktör, standart uzaktan görev yürütme tekniğini kullanarak uzak ana bilgisayarda betiği yürüttü. Toplanan dosyalar daha sonra xcopy yardımcı programı kullanılarak sızma ana bilgisayarına manuel olarak aktarıldı ve son olarak 7z ikili programı kullanılarak sıkıştırıldı.”
Açıklama, Check Point’in Asya’daki hükümet ve telekomünikasyon kuruluşlarının, tespitten kaçınmak ve bir sonraki aşamadaki kötü amaçlı yazılımları sunmak için çok çeşitli “tek kullanımlık” kötü amaçlı yazılımlar kullanılarak 2021’den bu yana devam eden bir kampanyanın parçası olarak hedef alındığını açıklamasının ardından geldi.
Siber güvenlik firmasına göre faaliyet, ToddyCat’in kullandığı altyapıyla örtüşen altyapıya dayanıyor.