Un grupo de amenazas persistentes avanzadas (APT) conocido como ToddyCat está recopilando datos a escala industrial de objetivos gubernamentales y de defensa en la región de Asia y el Pacífico.

Los investigadores de Kaspersky que siguieron la campaña describieron esta semana que el actor de amenazas utiliza múltiples conexiones simultáneas en los entornos de las víctimas para mantener la persistencia y robarles datos. También descubrieron un conjunto de nuevas herramientas que ToddyCat (que es un nombre común para el Civeta de palma asiática) está utilizando para permitir la recopilación de datos de los sistemas y navegadores de las víctimas.

Múltiples túneles de tráfico en los ciberataques de ToddyCat

"Tener varios túneles hacia la infraestructura infectada implementados con diferentes herramientas permite a los atacantes mantener el acceso a los sistemas incluso si uno de los túneles es descubierto y eliminado", dijeron los investigadores de seguridad de Kaspersky en un entrada de blog esta semana. "Al asegurar el acceso constante a la infraestructura, [los] atacantes pueden realizar reconocimientos y conectarse a hosts remotos".

ToddyCat es un probable actor de amenazas que habla chino y que Kaspersky ha podido vincular con ataques que se remontan al menos a diciembre de 2020. En sus etapas iniciales, el grupo parecía centrado solo en un pequeño número de organizaciones en Taiwán y Vietnam. Pero el actor de amenazas incrementó rápidamente los ataques tras la divulgación pública del llamado Vulnerabilidades de ProxyLogon en Microsoft Exchange Server en febrero de 2021. Kaspersky cree que ToddyCat podría haber estado entre un grupo de actores de amenazas que atacaron las vulnerabilidades de ProxyLogon incluso antes de febrero de 2021, pero dice que aún no ha encontrado evidencia que respalde esa conjetura.  

En 2022, Kaspersky reportaron encontrar actores de ToddyCat usando dos nuevas y sofisticadas herramientas de malware apodados Samurai y Ninja para distribuir China Chopper, un conocido shell web básico utilizado en los ataques a Microsoft Exchange Server, en sistemas pertenecientes a víctimas en Asia y Europa.

Mantener acceso persistente, malware nuevo

La última investigación de Kaspersky sobre las actividades de ToddyCat mostró que la táctica del actor de amenazas para mantener un acceso remoto persistente a una red comprometida es establecer múltiples túneles utilizando diferentes herramientas. Estos incluyen el uso de un túnel SSH inverso para obtener acceso a servicios de red remotos; usando SoftEther VPN, una herramienta de código abierto que permite conexiones VPN a través de OpenVPN, L2TP/IPSec y otros protocolos; y utilizar un agente ligero (Ngrok) para redirigir el comando y control desde una infraestructura de nube controlada por el atacante a hosts objetivo en el entorno de la víctima.

Además, los investigadores de Kaspersky descubrieron que los actores de ToddyCat utilizaban un cliente proxy inverso rápido para permitir el acceso desde Internet a servidores detrás de un firewall o un mecanismo de traducción de direcciones de red (NAT).

La investigación de Kaspersky también mostró que el actor de amenazas utiliza al menos tres nuevas herramientas en su campaña de recopilación de datos. Uno de ellos es el malware que Kaspersky había denominado "Cuthead" y que permite a ToddyCat buscar archivos con extensiones o palabras específicas en la red de la víctima y almacenarlos en un archivo.

Otra herramienta nueva que Kaspersky descubrió que utiliza ToddyCat es "WAExp". La tarea del malware es buscar y recopilar datos del navegador desde la versión web de WhatsApp. 

"Para los usuarios de la aplicación web WhatsApp, el almacenamiento local de su navegador contiene los detalles de su perfil, los datos del chat, los números de teléfono de los usuarios con los que chatean y los datos de la sesión actual", dijeron los investigadores de Kaspersky. WAExp permite que los ataques obtengan acceso a estos datos copiando los archivos de almacenamiento local del navegador, señaló el proveedor de seguridad.  

Mientras tanto, la tercera herramienta se denomina "TomBerBil" y permite a los actores de ToddyCat robar contraseñas de los navegadores Chrome y Edge.

"Analizamos varias herramientas que permiten a los atacantes mantener el acceso a las infraestructuras objetivo y buscar y recopilar automáticamente datos de interés", dijo Kaspersky. "Los atacantes están utilizando activamente técnicas para eludir las defensas en un intento de enmascarar su presencia en el sistema".

El proveedor de seguridad recomienda que las organizaciones bloqueen las direcciones IP de los servicios en la nube que brindan túneles de tráfico y limiten las herramientas que los administradores pueden usar para acceder a los hosts de forma remota. Las organizaciones también deben eliminar o monitorear de cerca cualquier herramienta de acceso remoto no utilizada en el entorno y alentar a los usuarios a no almacenar contraseñas en sus navegadores, dijo Kaspersky.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-