ToddyCat APT stjäl data i "industriell skala"

En avancerad ihållande hotgrupp (APT). känd som ToddyCat samlar in data i industriell skala från regerings- och försvarsmål i Asien-Stillahavsområdet.

Forskare från Kaspersky som spårar kampanjen beskrev hotaktören denna vecka som att han använde flera samtidiga anslutningar till offermiljöer för att upprätthålla uthållighet och för att stjäla data från dem. De upptäckte också en uppsättning nya verktyg som ToddyCat (som är ett vanligt namn för Asiatisk palmcivet) använder för att möjliggöra datainsamling från offersystem och webbläsare.

Flera trafiktunnlar i ToddyCat cyberattacker

"Att ha flera tunnlar till den infekterade infrastrukturen implementerade med olika verktyg gör att angriparna kan behålla åtkomst till system även om en av tunnlarna upptäcks och elimineras", sa Kasperskys säkerhetsforskare i en blogginlägg den här veckan. "Genom att säkra konstant åtkomst till infrastrukturen kan [angriparna] utföra spaning och ansluta till fjärrvärdar."

ToddyCat är en trolig kinesiskspråkig hotaktör som Kaspersky har kunnat koppla till attacker som går tillbaka till åtminstone december 2020. I sina inledande skeden verkade gruppen fokuserad på bara ett litet antal organisationer i Taiwan och Vietnam. Men hotaktören rampade snabbt upp attacker efter offentliggörandet av den så kallade ProxyLogon sårbarheter i Microsoft Exchange Server i februari 2021. Kaspersky tror att ToddyCat kan ha varit bland en grupp hotaktörer som riktade sig mot ProxyLogon-sårbarheterna även före februari 2021, men säger att de ännu inte har hittat bevis för att backa upp den gissningen.

År 2022, Kaspersky rapporterade hitta ToddyCat-skådespelare med hjälp av två sofistikerade nya skadliga verktyg Dubbade Samurai och Ninja för att distribuera China Chopper – ett välkänt webbskal som används i Microsoft Exchange Server-attackerna – på system som tillhör offer i Asien och Europa.

Upprätthålla beständig åtkomst, färsk skadlig programvara

Kasperskys senaste undersökning av ToddyCats aktiviteter visade att hotaktörens taktik för att upprätthålla beständig fjärråtkomst till ett äventyrat nätverk är att upprätta flera tunnlar till det med hjälp av olika verktyg. Dessa inkluderar användning av en omvänd SSH-tunnel för att få tillgång till fjärrnätverkstjänster; använder SoftEther VPN, ett verktyg med öppen källkod som möjliggör VPN-anslutningar via OpenVPN, L2TP/IPSec och andra protokoll; och att använda en lättviktsagent (Ngrok) för att omdirigera kommando-och-kontroll från en angriparkontrollerad molninfrastruktur till målvärdar i offermiljön.

Dessutom fann Kaspersky-forskare att ToddyCat-aktörer använder en snabb omvänd proxyklient för att möjliggöra åtkomst från Internet till servrar bakom en brandvägg eller nätverksadressöversättningsmekanism (NAT).

Kasperskys undersökning visade också att hotaktören använde minst tre nya verktyg i sin datainsamlingskampanj. En av dem är skadlig programvara som Kaspersky hade kallat "Cuthead" som gör att ToddyCat kan söka efter filer med specifika tillägg eller ord på offrets nätverk och lagra dem i ett arkiv.

Ett annat nytt verktyg som Kaspersky hittade ToddyCat med är "WAExp." Skadlig programvaras uppgift är att söka efter och samla in webbläsardata från webbversionen av WhatsApp.

"För användare av WhatsApp-webbappen innehåller deras webbläsares lokala lagring deras profildetaljer, chattdata, telefonnummer till användare de chattar med och aktuella sessionsdata," sa Kaspersky-forskare. WAExp tillåter attackerna att få tillgång till dessa data genom att kopiera webbläsarens lokala lagringsfiler, noterade säkerhetsleverantören.

Det tredje verktyget kallas under tiden "TomBerBil" och låter ToddyCat-skådespelare stjäla lösenord från webbläsarna Chrome och Edge.

"Vi tittade på flera verktyg som tillåter angriparna att behålla åtkomst till målinfrastrukturer och automatiskt söka efter och samla in data av intresse", sa Kaspersky. "Angriparna använder aktivt tekniker för att kringgå försvar i ett försök att maskera deras närvaro i systemet."

Säkerhetsleverantören rekommenderar att organisationer blockerar IP-adresser för molntjänster som tillhandahåller trafiktunnling och begränsar de verktyg som administratörer kan använda för att komma åt värdar på distans. Organisationer måste också antingen ta bort eller noggrant övervaka alla oanvända fjärråtkomstverktyg i miljön och uppmuntra användare att inte lagra lösenord i sina webbläsare, sa Kaspersky.

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

Generativ dataintelligens

ToddyCat APT stjäl data i "industriell skala"

Flera trafiktunnlar i ToddyCat cyberattacker

Upprätthålla beständig åtkomst, färsk skadlig programvara

GAO: NASA står inför "inkonsekvent" cybersäkerhet över rymdfarkoster

Utforska återuppbyggnaden av en århundraden gammal stad i Filippinerna under extrem torka: en berättelse om klimatförändringar från EcoWatch

Senaste intelligens

Sui fyller ett: Debutåret för tillväxt och tekniska genombrott placerar Sui i framkanten av Web3

Lakers Fire Darvin Ham

Skala tillbaka lager: Den komplexa handeln med bananer i Guatemalas ekonomi

Fidelity avslöjar att pensionsfonder utforskar krypto – The Defiant

REvil Affiliate i fängelse för Ransomware Scheme

Crypto Markets Surge on US Jobs Report – The Defiant

Chatta med oss