Tác nhân đe dọa được gọi là ToddyCat đã được quan sát bằng cách sử dụng một loạt các công cụ để giữ quyền truy cập vào môi trường bị xâm nhập và đánh cắp dữ liệu có giá trị.
Công ty an ninh mạng Kaspersky của Nga mô tả đối thủ dựa vào các chương trình khác nhau để thu thập dữ liệu ở "quy mô công nghiệp" từ các tổ chức chính phủ chủ yếu, một số trong đó liên quan đến quốc phòng, nằm ở khu vực châu Á - Thái Bình Dương.
"Để thu thập khối lượng lớn dữ liệu từ nhiều máy chủ, kẻ tấn công cần tự động hóa quá trình thu thập dữ liệu càng nhiều càng tốt và cung cấp một số phương tiện thay thế để liên tục truy cập và giám sát các hệ thống mà chúng tấn công", các nhà nghiên cứu bảo mật Andrey Gunkin, Alexander Fedotov và Natalya Shornikova cho biết.
ToddyCat lần đầu tiên được công ty ghi nhận vào tháng 6/2022 liên quan đến một loạt các cuộc tấn công mạng nhằm vào các thực thể chính phủ và quân sự ở châu Âu và châu Á kể từ ít nhất là tháng 12/2020. Những xâm nhập này đã tận dụng một backdoor thụ động được gọi là Samurai cho phép truy cập từ xa vào máy chủ bị xâm nhập.
Một cuộc kiểm tra kỹ hơn về thương mại của tác nhân đe dọa đã phát hiện ra các công cụ lọc dữ liệu bổ sung như LoFiSe và Pcexter để thu thập dữ liệu và tải các tệp lưu trữ lên Microsoft OneDrive.
Bộ chương trình mới nhất đòi hỏi sự kết hợp của phần mềm thu thập dữ liệu đường hầm, được đưa vào sử dụng sau khi kẻ tấn công đã có quyền truy cập vào tài khoản người dùng đặc quyền trong hệ thống bị nhiễm. Điều này bao gồm -
- Đảo ngược đường hầm SSH bằng OpenSSH
- SoftEther VPN, được đổi tên thành các tệp dường như vô hại như "boot.exe", "mstime.exe", "netscan.exe" và "kaspersky.exe"
- Ngrok và Krong để mã hóa và chuyển hướng lưu lượng lệnh và kiểm soát (C2) đến một cổng nhất định trên hệ thống đích
- FRP client, một proxy đảo ngược nhanh dựa trên Golang mã nguồn mở
- Cuthead, một tệp thực thi được biên dịch .NET để tìm kiếm các tài liệu phù hợp với một phần mở rộng cụ thể hoặc tên tệp hoặc ngày chúng được sửa đổi
- WAExp, một chương trình .NET để thu thập dữ liệu được liên kết với ứng dụng web WhatsApp và lưu nó dưới dạng kho lưu trữ và
- TomBerBil để trích xuất cookie và thông tin đăng nhập từ các trình duyệt web như Google Chrome và Microsoft Edge
"Những kẻ tấn công đang tích cực sử dụng các kỹ thuật để vượt qua hệ thống phòng thủ trong nỗ lực che giấu sự hiện diện của chúng trong hệ thống", Kaspersky cho biết.