ToddyCat APT Is Stealing Data On 'Industrial Scale'

एक उन्नत लगातार खतरा (एपीटी) समूह टोडीकैट के नाम से जाना जाता है एशिया-प्रशांत क्षेत्र में सरकारी और रक्षा लक्ष्यों से औद्योगिक पैमाने पर डेटा एकत्र कर रहा है।

अभियान पर नज़र रखने वाले कास्परस्की के शोधकर्ताओं ने इस सप्ताह खतरे के अभिनेता को दृढ़ता बनाए रखने और उनसे डेटा चुराने के लिए पीड़ितों के वातावरण में एक साथ कई कनेक्शनों का उपयोग करने के रूप में वर्णित किया। उन्होंने नए उपकरणों का एक सेट भी खोजा जिसे टोडीकैट (जो कि एक सामान्य नाम है एशियाई हथेली कीलक) पीड़ित सिस्टम और ब्राउज़र से डेटा संग्रह को सक्षम करने के लिए उपयोग कर रहा है।

टोडीकैट साइबर हमलों में एकाधिक ट्रैफ़िक सुरंगें

कास्परस्की सुरक्षा शोधकर्ताओं ने कहा, "अलग-अलग उपकरणों के साथ कार्यान्वित संक्रमित बुनियादी ढांचे के लिए कई सुरंगें होने से हमलावरों को सिस्टम तक पहुंच बनाए रखने की अनुमति मिलती है, भले ही सुरंगों में से एक की खोज की गई हो और उसे खत्म कर दिया गया हो।" इस सप्ताह ब्लॉग पोस्ट. "बुनियादी ढांचे तक निरंतर पहुंच हासिल करके, हमलावर टोह लेने और दूरस्थ मेजबानों से जुड़ने में सक्षम हैं।"

टोडीकैट एक संभावित चीनी भाषा बोलने वाला खतरा अभिनेता है जिसे कैस्परस्की कम से कम दिसंबर 2020 में हुए हमलों से जोड़ने में सक्षम है। अपने शुरुआती चरणों में, समूह ताइवान और वियतनाम में केवल कुछ ही संगठनों पर केंद्रित दिखाई दिया। लेकिन तथाकथित सार्वजनिक खुलासे के बाद धमकी देने वाले अभिनेता ने तुरंत हमले तेज कर दिए प्रॉक्सी लॉगऑन कमजोरियां फरवरी 2021 में माइक्रोसॉफ्ट एक्सचेंज सर्वर में। कैसपर्सकी का मानना है कि टोडीकैट उन खतरनाक अभिनेताओं के समूह में से एक हो सकता है, जिन्होंने फरवरी 2021 से पहले भी प्रॉक्सीलॉगन कमजोरियों को लक्षित किया था, लेकिन उनका कहना है कि उस अनुमान का समर्थन करने के लिए अभी तक सबूत नहीं मिले हैं।

2022 में, कास्परस्की की रिपोर्ट ToddyCat अभिनेताओं को ढूँढना दो परिष्कृत नए मैलवेयर उपकरण एशिया और यूरोप में पीड़ितों से संबंधित सिस्टम पर चाइना चॉपर - माइक्रोसॉफ्ट एक्सचेंज सर्वर हमलों में इस्तेमाल किया जाने वाला एक प्रसिद्ध कमोडिटी वेब शेल - वितरित करने के लिए समुराई और निंजा को डब किया गया।

लगातार पहुंच बनाए रखना, ताज़ा मैलवेयर

टोडीकैट की गतिविधियों में कैस्परस्की की नवीनतम जांच से पता चला है कि एक समझौता किए गए नेटवर्क तक लगातार दूरस्थ पहुंच बनाए रखने के लिए खतरे के अभिनेता की रणनीति विभिन्न उपकरणों का उपयोग करके इसमें कई सुरंगें स्थापित करना है। इनमें दूरस्थ नेटवर्क सेवाओं तक पहुंच प्राप्त करने के लिए रिवर्स एसएसएच सुरंग का उपयोग करना शामिल है; सॉफ्टईथर वीपीएन का उपयोग करना, एक ओपन सोर्स टूल जो ओपनवीपीएन, एल2टीपी/आईपीएसईसी और अन्य प्रोटोकॉल के माध्यम से वीपीएन कनेक्शन को सक्षम बनाता है; और पीड़ित वातावरण में मेजबानों को लक्षित करने के लिए हमलावर-नियंत्रित क्लाउड इंफ्रास्ट्रक्चर से कमांड-एंड-कंट्रोल को रीडायरेक्ट करने के लिए हल्के एजेंट (एनग्रोक) का उपयोग करना।

इसके अलावा, कैस्परस्की शोधकर्ताओं ने टोडीकैट अभिनेताओं को फ़ायरवॉल या नेटवर्क एड्रेस ट्रांसलेशन (NAT) तंत्र के पीछे इंटरनेट से सर्वर तक पहुंच सक्षम करने के लिए एक तेज़ रिवर्स प्रॉक्सी क्लाइंट का उपयोग करते हुए पाया।

कैस्परस्की की जांच में यह भी पता चला कि धमकी देने वाला अभिनेता अपने डेटा-संग्रह अभियान में कम से कम तीन नए टूल का उपयोग कर रहा है। उनमें से एक मैलवेयर है जिसे कैस्परस्की ने "कटहेड" करार दिया था जो टोडीकैट को पीड़ित नेटवर्क पर विशिष्ट एक्सटेंशन या शब्दों के साथ फ़ाइलों की खोज करने और उन्हें एक संग्रह में संग्रहीत करने की अनुमति देता है।

एक और नया टूल जिसे कैस्परस्की ने टोडीकैट का उपयोग करते हुए पाया वह है "WAExp।" मैलवेयर का काम व्हाट्सएप के वेब संस्करण से ब्राउज़र डेटा खोजना और एकत्र करना है।

कैसपर्सकी शोधकर्ताओं ने कहा, "व्हाट्सएप वेब ऐप के उपयोगकर्ताओं के लिए, उनके ब्राउज़र के स्थानीय स्टोरेज में उनके प्रोफ़ाइल विवरण, चैट डेटा, उन उपयोगकर्ताओं के फ़ोन नंबर और वर्तमान सत्र डेटा शामिल हैं जिनसे वे चैट करते हैं।" सुरक्षा विक्रेता ने बताया कि WAExp हमलों को ब्राउज़र की स्थानीय स्टोरेज फ़ाइलों की प्रतिलिपि बनाकर इस डेटा तक पहुंच प्राप्त करने की अनुमति देता है।

इस बीच तीसरे टूल को "टॉमबरबिल" नाम दिया गया है और यह टोडीकैट अभिनेताओं को क्रोम और एज ब्राउज़र से पासवर्ड चुराने की अनुमति देता है।

कैस्परस्की ने कहा, "हमने कई टूल देखे जो हमलावरों को लक्षित बुनियादी ढांचे तक पहुंच बनाए रखने और रुचि के डेटा को स्वचालित रूप से खोजने और एकत्र करने की अनुमति देते हैं।" "हमलावर सिस्टम में अपनी उपस्थिति को छुपाने के प्रयास में सुरक्षा को दरकिनार करने के लिए सक्रिय रूप से तकनीकों का उपयोग कर रहे हैं।"

सुरक्षा विक्रेता अनुशंसा करता है कि संगठन ट्रैफ़िक टनलिंग प्रदान करने वाली क्लाउड सेवाओं के आईपी पते को ब्लॉक कर दें और उन टूल को सीमित कर दें जिनका उपयोग प्रशासक दूरस्थ रूप से होस्ट तक पहुंचने के लिए कर सकते हैं। कैस्परस्की ने कहा कि संगठनों को पर्यावरण में किसी भी अप्रयुक्त रिमोट एक्सेस टूल को हटाने या बारीकी से निगरानी करने की आवश्यकता है और उपयोगकर्ताओं को अपने ब्राउज़र में पासवर्ड संग्रहीत न करने के लिए प्रोत्साहित करना होगा।

एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
स्रोत: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

जनरेटिव डेटा इंटेलिजेंस

टोडीकैट एपीटी 'औद्योगिक पैमाने' पर डेटा चुरा रहा है

टोडीकैट साइबर हमलों में एकाधिक ट्रैफ़िक सुरंगें

लगातार पहुंच बनाए रखना, ताज़ा मैलवेयर

ओपनएआई एआई-संचालित खोज के साथ Google और उलझन को चुनौती दे सकता है: रिपोर्ट - डिक्रिप्ट

क्रिप्टो व्हेल ने एक दिन के उन्माद में बिटकॉइन में $2.9 बिलियन छीन लिए

नवीनतम खुफिया

नाइजीरिया राष्ट्रीय सुरक्षा चिंताओं के कारण पी2पी क्रिप्टो ट्रेडिंग को गैरकानूनी घोषित करने के लिए तैयार है

वेब3 गेमिंग रिसेप्शन संदेह से उत्साह में बदल गया: श्रापनेल स्टूडियो के प्रमुख

ट्रम्प के तहत एसईसी क्रिप्टो विनियमन को 'जोरदार ढंग से आगे बढ़ाएगा' - पूर्व नियामक का कहना है

ग्रेस्केल बिटकॉइन ईटीएफ ने हार का सिलसिला तोड़ दिया, $63 मिलियन जुटाए - डिक्रिप्ट

पूर्व एफटीएक्स कार्यकारी प्ली डील में $5.9 मिलियन बहामास संपत्ति हस्तांतरित करने के लिए सहमत हैं

क्रिप्टो मंदी एक खरीदारी का अवसर: BitMEX के संस्थापक कहते हैं, 'मई में खरीदें, चले जाएं'

हमारे साथ चैट करें