Russische hackergroep ToddyCat gebruikt geavanceerde tools voor gegevensdiefstal op industriële schaal

De bedreigingsacteur bekend als ToddyCat Er is waargenomen dat een breed scala aan tools werd gebruikt om de toegang tot gecompromitteerde omgevingen te behouden en waardevolle gegevens te stelen.

Het Russische cyberbeveiligingsbedrijf Kaspersky typeerde de tegenstander als iemand die afhankelijk was van verschillende programma's om gegevens op “industriële schaal” te verzamelen van voornamelijk overheidsorganisaties, waarvan sommige defensiegerelateerd zijn, gevestigd in de regio Azië-Pacific.

“Om grote hoeveelheden gegevens van veel hosts te verzamelen, moeten aanvallers het gegevensverzamelingsproces zoveel mogelijk automatiseren en verschillende alternatieve manieren bieden om voortdurend toegang te krijgen tot de systemen die ze aanvallen en deze te monitoren”, aldus beveiligingsonderzoekers Andrey Gunkin, Alexander Fedotov en Natalya Shornikova. gezegd.

ToddyCat werd voor het eerst gedocumenteerd door het bedrijf in juni 2022 in verband met een reeks cyberaanvallen gericht op regerings- en militaire entiteiten in Europa en Azië sinds ten minste december 2020. Deze inbraken maakten gebruik van een passieve achterdeur genaamd Samurai die externe toegang mogelijk maakte tot de gecompromitteerde gastheer.

Bij nader onderzoek van het vakmanschap van de bedreigingsacteur zijn sindsdien aanvullende tools voor gegevensexfiltratie aan het licht gekomen, zoals LoFiSe en Pcexter, waarmee gegevens kunnen worden verzameld en archiefbestanden naar Microsoft OneDrive kunnen worden geüpload.

Cyberbeveiliging

De nieuwste reeks programma's omvat een mix van tunnelingsoftware voor het verzamelen van gegevens, die in gebruik wordt genomen nadat de aanvaller al toegang heeft gekregen tot geprivilegieerde gebruikersaccounts op het geïnfecteerde systeem. Dit bevat –

  • Omgekeerde SSH-tunnel met OpenSSH
  • SoftEther VPN, hernoemd naar schijnbaar onschadelijke bestanden zoals “boot.exe”, “mstime.exe”, “netscan.exe” en “kaspersky.exe”
  • Ngrok en Krong gaan command-and-control (C2)-verkeer versleutelen en omleiden naar een bepaalde poort op het doelsysteem
  • FRP-client, een open-source Golang-gebaseerde fast reverse proxy
  • Cuthead, een met .NET gecompileerd uitvoerbaar bestand om te zoeken naar documenten die overeenkomen met een specifieke extensie of bestandsnaam, of de datum waarop ze zijn gewijzigd
  • WAExp, een .NET-programma om gegevens die verband houden met de WhatsApp-webapp vast te leggen en op te slaan als archief, en
  • TomBerBil om cookies en inloggegevens uit webbrowsers zoals Google Chrome en Microsoft Edge te extraheren

“De aanvallers gebruiken actief technieken om de verdediging te omzeilen in een poging hun aanwezigheid in het systeem te maskeren”, aldus Kaspersky.

Russische hackergroep ToddyCat

“Om de infrastructuur van de organisatie te beschermen, raden we aan om aan de firewall-weigerlijst de bronnen en IP-adressen toe te voegen van clouddiensten die verkeerstunneling bieden. Bovendien moeten gebruikers worden verplicht om te voorkomen dat ze wachtwoorden in hun browsers opslaan, omdat dit aanvallers helpt toegang te krijgen tot gevoelige informatie .”

Thijs Van der Does