More

    Istraživači su predstavili ToddyCat-ov novi set alata za eksfiltraciju podataka

    Haker napredne persistentne prijetnje (APT) poznat kao ToddyCat povezan je s novim skupom malicioznih alata koji su dizajnirani za eksfiltraciju podataka, nudeći dublji uvid u taktike i mogućnosti hakerske ekipe.

    Nalazi dolaze od kompanije Kaspersky, koja je prvi bacila svjetlo na ovog hakera prošle godine, povezujući ga s napadima na visokoprofilisane entitete u Evropi i Aziji u trajanju od skoro tri godine.

    Dok se u arsenalu grupe istaknuto nalazi Ninja Trojan i backdoor pod nazivom Samurai, dalja istraga je otkrila cijeli novi skup malvera koji je razvio i održavao haker za postizanje postojanosti, obavljanje operacija s datotekama i učitavanje dodatnih payloada tokom rada.

    Ovo uključuje kolekciju loadera koji dolazi sa mogućnostima za pokretanje Ninja Trojan kao druge faze, alat pod nazivom LoFiSe za pronalaženje i prikupljanje datoteka od interesa, DropBox uploader za spremanje ukradenih podataka u Dropbox i Pcexter za eksfiltriranje arhivskih datoteka u Microsoft OneDrive.

    ToddyCat je također primijećen kako koristi prilagođene skripte za prikupljanje podataka, pasivni backdoor koji prima komande s UDP paketima, Cobalt Strike za post-eksploataciju i kompromitovane kredencijale domene da bi se olakšalo lateralno kretanje u cilju obavljanja svojih špijunskih aktivnosti.

    „Uočili smo varijante skripte dizajnirane isključivo za prikupljanje podataka i kopiranje datoteka u određene fascikle, ali bez njihovog uključivanja u komprimovane arhive“, rekao je Kaspersky.

    “U ovim slučajevima, haker je izvršio skriptu na udaljenom hostu koristeći standardnu ​​tehniku ​​udaljenog izvršavanja zadataka. Prikupljeni fajlovi su zatim ručno prebačeni na host za eksfiltraciju pomoću uslužnog programa xcopy i konačno komprimovani pomoću 7z binarnog sistema.”

    Objava dolazi nakon što je Check Point otkrio da su vladini i telekomunikacioni subjekti u Aziji bili na meti kao dio tekuće kampanje od 2021. koristeći široku paletu nalvera za “jednokratnu upotrebu” kako bi izbjegli otkrivanje i isporučili zlonamjerni softver sljedeće faze.

    Aktivnost se, prema firmi za kibernetičku sigurnost, oslanja na infrastrukturu koja se preklapa s onom koju koristi ToddyCat.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories