Tác nhân đe dọa liên tục nâng cao (APT) có tên ToddyCat đã được liên kết với một bộ công cụ độc hại mới được thiết kế để lấy cắp dữ liệu, mang lại cái nhìn sâu sắc hơn về chiến thuật và khả năng của nhóm hack.
Những phát hiện này đến từ Kaspersky, công ty lần đầu tiên làm sáng tỏ đối thủ vào năm ngoái, liên kết nó với các cuộc tấn công nhằm vào các thực thể cấp cao ở châu Âu và châu Á trong gần ba năm.
Trong khi kho vũ khí của nhóm nổi bật với Ninja Trojan và một cửa hậu có tên Samurai, cuộc điều tra sâu hơn đã phát hiện ra một bộ phần mềm độc hại hoàn toàn mới do kẻ tấn công phát triển và duy trì để đạt được tính bền bỉ, thực hiện các hoạt động tệp và tải các tải trọng bổ sung trong thời gian chạy.
Điều này bao gồm một tập hợp các trình tải đi kèm với khả năng khởi chạy Ninja Trojan ở giai đoạn thứ hai, một công cụ có tên LoFiSe để tìm và thu thập các tệp quan tâm, trình tải lên DropBox để lưu dữ liệu bị đánh cắp vào Dropbox và Pcexter để lọc các tệp lưu trữ sang Microsoft Một ổ đĩa.
Người ta cũng thấy ToddyCat sử dụng các tập lệnh tùy chỉnh để thu thập dữ liệu, một cửa hậu thụ động nhận lệnh bằng các gói UDP, Cobalt Strike để sau khai thác và thông tin đăng nhập của quản trị viên miền bị xâm phạm để tạo điều kiện thuận lợi cho việc theo đuổi các hoạt động gián điệp của nó.
Kaspersky cho biết: “Chúng tôi quan sát thấy các biến thể tập lệnh được thiết kế chỉ để thu thập dữ liệu và sao chép tệp vào các thư mục cụ thể mà không đưa chúng vào kho lưu trữ nén”.
"Trong những trường hợp này, kẻ tấn công đã thực thi tập lệnh trên máy chủ từ xa bằng kỹ thuật thực thi tác vụ từ xa tiêu chuẩn. Các tệp được thu thập sau đó được chuyển thủ công đến máy chủ trích xuất bằng tiện ích xcopy và cuối cùng được nén bằng tệp nhị phân 7z."
Tiết lộ này được đưa ra khi Check Point tiết lộ rằng các chính phủ và tổ chức viễn thông ở châu Á đã trở thành mục tiêu của một chiến dịch đang diễn ra kể từ năm 2021 bằng cách sử dụng nhiều loại phần mềm độc hại "dùng một lần" để trốn tránh bị phát hiện và phát tán phần mềm độc hại giai đoạn tiếp theo.
Theo công ty an ninh mạng, hoạt động này dựa trên cơ sở hạ tầng trùng lặp với cơ sở hạ tầng được sử dụng bởi ToddyCat.