Grupo Hacker ToddyCat Utiliza Ferramentas Avançadas para Roubo de Dados em Escala Industrial
23 de Abril de 2024

O ator de ameaça conhecido como ToddyCat tem sido observado utilizando uma ampla gama de ferramentas para reter acesso a ambientes comprometidos e roubar dados valiosos.

A firma russa de cibersegurança Kaspersky caracterizou o adversário como dependente de diversos programas para colher dados em uma "escala industrial" de principalmente organizações governamentais, algumas delas relacionadas à defesa, localizadas na região Ásia-Pacífico.

"Para coletar grandes volumes de dados de muitos hosts, os atacantes precisam automatizar o processo de coleta de dados o máximo possível e fornecer vários meios alternativos para acessar e monitorar continuamente os sistemas que atacam", disseram os pesquisadores de segurança Andrey Gunkin, Alexander Fedotov e Natalya Shornikova.

ToddyCat foi documentado pela primeira vez pela empresa em junho de 2022, em conexão com uma série de ataques cibernéticos voltados a entidades governamentais e militares na Europa e Ásia desde pelo menos dezembro de 2020.

Essas intrusões se valeram de um backdoor passivo batizado de Samurai, que permite o acesso remoto ao host comprometido.

Um exame mais detalhado do modus operandi do ator de ameaça desde então revelou ferramentas adicionais de exfiltração de dados como LoFiSe e Pcexter para coletar dados e enviar arquivos arquivados para o Microsoft OneDrive.

O último conjunto de programas inclui uma mistura de software de coleta e tunelamento de dados, que são colocados em uso após o atacante já ter obtido acesso a contas de usuário privilegiadas no sistema infectado.

Isso inclui:

- Túnel SSH reverso usando OpenSSH
- VPN SoftEther, que é renomeado para arquivos aparentemente inócuos como "boot.exe", "mstime.exe", "netscan.exe", e "kaspersky.exe"
- Ngrok e Krong para criptografar e redirecionar o tráfego de comando e controle (C2) para uma certa porta no sistema alvo
- Cliente FRP, um proxy reverso rápido baseado em Golang de código aberto
- Cuthead, um executável compilado em .NET para buscar documentos que correspondam a uma extensão específica ou um nome de arquivo, ou a data em que foram modificados
- WAExp, um programa .NET para capturar dados associados ao aplicativo web do WhatsApp e salvá-los como um arquivo, e
- TomBerBil para extrair cookies e credenciais de navegadores web como Google Chrome e Microsoft Edge

Manter múltiplas conexões simultâneas dos pontos de extremidade infectados para infraestrutura controlada pelos atores usando diferentes ferramentas é visto como um mecanismo de contingência e uma maneira de reter acesso nos casos em que um dos túneis é descoberto e desativado.

"Os atacantes estão ativamente utilizando técnicas para burlar as defesas na tentativa de mascarar sua presença no sistema", disse a Kaspersky.

"Para proteger a infraestrutura da organização, recomendamos adicionar à lista de negação do firewall os recursos e endereços IP de serviços em nuvem que fornecem tunelamento de tráfego. Além disso, deve-se exigir que os usuários evitem armazenar senhas em seus navegadores, pois isso ajuda os atacantes a acessar informações sensíveis," finaliza a Kaspersky.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...