지능형 지속 위협(APT) 그룹 토디캣으로 알려진 는 아시아 태평양 지역의 정부 및 국방 대상으로부터 산업 규모의 데이터를 수집합니다.
캠페인을 추적하는 Kaspersky 연구원들은 이번 주 공격자가 지속성을 유지하고 데이터를 훔치기 위해 피해자 환경에 여러 동시 연결을 사용한다고 설명했습니다. 그들은 또한 ToddyCat(ToddyCat의 일반적인 이름)이라는 새로운 도구 세트를 발견했습니다. 아시아 야자 사향 고양이)은 피해자 시스템과 브라우저에서 데이터 수집을 활성화하는 데 사용됩니다.
ToddyCat 사이버 공격의 다중 트래픽 터널
카스퍼스키 보안 연구원들은 “감염된 인프라에 여러 개의 터널을 다양한 도구로 구현하면 터널 중 하나가 발견되어 제거되더라도 공격자가 시스템에 대한 액세스를 유지할 수 있습니다.”라고 밝혔습니다. 이번 주 블로그 게시물. "인프라에 대한 지속적인 액세스를 보장함으로써 공격자는 정찰을 수행하고 원격 호스트에 연결할 수 있습니다."
ToddyCat은 중국어를 사용하는 위협 행위자일 가능성이 높으며 Kaspersky는 적어도 2020년 XNUMX월까지 거슬러 올라가는 공격과 연결할 수 있었습니다. 초기 단계에서 이 그룹은 대만과 베트남의 소수 조직에만 초점을 맞춘 것으로 나타났습니다. 그러나 위협 행위자는 소위 말하는 정보가 공개된 후 빠르게 공격을 강화했습니다. ProxyLogon 취약점 Kaspersky는 ToddyCat이 2021년 2021월 이전에도 ProxyLogon 취약점을 표적으로 삼은 위협 행위자 그룹 중 하나였을 수 있다고 믿고 있지만 아직 그러한 추측을 뒷받침할 증거를 찾지 못했다고 말했습니다.
2022년에는 카스퍼스키 신고 다음을 사용하여 ToddyCat 액터 찾기 두 가지 정교한 새로운 악성 코드 도구 Samurai와 Ninja는 Microsoft Exchange Server 공격에 사용된 잘 알려진 상용 웹 셸인 China Chopper를 아시아와 유럽의 피해자 시스템에 배포했습니다.
지속적인 액세스 유지, 새로운 악성 코드
ToddyCat의 활동에 대한 Kaspersky의 최근 조사에 따르면 손상된 네트워크에 대한 지속적인 원격 액세스를 유지하려는 위협 행위자의 전술은 다양한 도구를 사용하여 여러 터널을 설정하는 것입니다. 여기에는 역방향 SSH 터널을 사용하여 원격 네트워크 서비스에 액세스하는 것이 포함됩니다. OpenVPN, L2TP/IPSec 및 기타 프로토콜을 통해 VPN 연결을 가능하게 하는 오픈 소스 도구인 SoftEther VPN을 사용합니다. 경량 에이전트(Ngrok)를 사용하여 공격자가 제어하는 클라우드 인프라에서 피해자 환경의 대상 호스트로 명령 및 제어를 리디렉션합니다.
또한 Kaspersky 연구진은 ToddyCat 공격자가 빠른 역방향 프록시 클라이언트를 사용하여 인터넷에서 방화벽이나 NAT(네트워크 주소 변환) 메커니즘 뒤에 있는 서버에 액세스할 수 있도록 한다는 사실을 발견했습니다.
Kaspersky의 조사에서는 위협 행위자가 데이터 수집 캠페인에 최소 3가지 새로운 도구를 사용하는 것으로 나타났습니다. 그 중 하나는 Kaspersky가 "Cuthead"라고 명명한 악성 코드입니다. 이 악성 코드는 ToddyCat이 피해자 네트워크에서 특정 확장자나 단어를 가진 파일을 검색하고 아카이브에 저장할 수 있게 해줍니다.
Kaspersky가 ToddyCat에서 사용하는 또 다른 새로운 도구는 "WAExp"입니다. 악성 코드의 임무는 웹 버전의 WhatsApp에서 브라우저 데이터를 검색하고 수집하는 것입니다.
Kaspersky 연구진은 “WhatsApp 웹 앱 사용자의 경우 브라우저 로컬 저장소에는 프로필 세부 정보, 채팅 데이터, 채팅하는 사용자의 전화번호 및 현재 세션 데이터가 포함되어 있습니다.”라고 말했습니다. WAExp를 사용하면 공격자가 브라우저의 로컬 저장소 파일을 복사하여 이 데이터에 액세스할 수 있다고 보안 공급업체는 밝혔습니다.
한편 세 번째 도구는 "TomBerBil"이라고 하며 ToddyCat 공격자가 Chrome 및 Edge 브라우저에서 비밀번호를 훔칠 수 있도록 합니다.
Kaspersky는 "우리는 공격자가 대상 인프라에 대한 액세스를 유지하고 관심 있는 데이터를 자동으로 검색 및 수집할 수 있도록 하는 여러 도구를 살펴보았습니다."라고 말했습니다. “공격자들은 시스템에서 자신의 존재를 숨기기 위해 방어를 우회하는 기술을 적극적으로 사용하고 있습니다.”
보안 공급업체는 조직에서 트래픽 터널링을 제공하는 클라우드 서비스의 IP 주소를 차단하고 관리자가 호스트에 원격으로 액세스하는 데 사용할 수 있는 도구를 제한할 것을 권장합니다. 또한 조직은 환경에서 사용하지 않는 원격 액세스 도구를 제거하거나 면밀히 모니터링해야 하며 사용자가 브라우저에 비밀번호를 저장하지 않도록 권장해야 한다고 Kaspersky는 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
