O ator de ameaça conhecido como ToddyCat tem sido observado utilizando uma ampla gama de ferramentas para reter acesso a ambientes comprometidos e roubar dados valiosos.
A firma russa de cibersegurança Kaspersky caracterizou o adversário como dependente de diversos programas para colher dados em uma "escala industrial" de principalmente organizações governamentais, algumas delas relacionadas à defesa, localizadas na região Ásia-Pacífico.
"Para coletar grandes volumes de dados de muitos hosts, os atacantes precisam automatizar o processo de coleta de dados o máximo possível e fornecer vários meios alternativos para acessar e monitorar continuamente os sistemas que atacam", disseram os pesquisadores de segurança Andrey Gunkin, Alexander Fedotov e Natalya Shornikova.
ToddyCat foi documentado pela primeira vez pela empresa em junho de 2022, em conexão com uma série de ataques cibernéticos voltados a entidades governamentais e militares na Europa e Ásia desde pelo menos dezembro de 2020.
Essas intrusões se valeram de um backdoor passivo batizado de Samurai, que permite o acesso remoto ao host comprometido.
Um exame mais detalhado do modus operandi do ator de ameaça desde então revelou ferramentas adicionais de exfiltração de dados como LoFiSe e Pcexter para coletar dados e enviar arquivos arquivados para o Microsoft OneDrive.
O último conjunto de programas inclui uma mistura de software de coleta e tunelamento de dados, que são colocados em uso após o atacante já ter obtido acesso a contas de usuário privilegiadas no sistema infectado.
Isso inclui:
- Túnel SSH reverso usando OpenSSH
- VPN SoftEther, que é renomeado para arquivos aparentemente inócuos como "boot.exe", "mstime.exe", "netscan.exe", e "kaspersky.exe"
- Ngrok e Krong para criptografar e redirecionar o tráfego de comando e controle (C2) para uma certa porta no sistema alvo
- Cliente FRP, um proxy reverso rápido baseado em Golang de código aberto
- Cuthead, um executável compilado em .NET para buscar documentos que correspondam a uma extensão específica ou um nome de arquivo, ou a data em que foram modificados
- WAExp, um programa .NET para capturar dados associados ao aplicativo web do WhatsApp e salvá-los como um arquivo, e
- TomBerBil para extrair cookies e credenciais de navegadores web como Google Chrome e Microsoft Edge
Manter múltiplas conexões simultâneas dos pontos de extremidade infectados para infraestrutura controlada pelos atores usando diferentes ferramentas é visto como um mecanismo de contingência e uma maneira de reter acesso nos casos em que um dos túneis é descoberto e desativado.
"Os atacantes estão ativamente utilizando técnicas para burlar as defesas na tentativa de mascarar sua presença no sistema", disse a Kaspersky.
"Para proteger a infraestrutura da organização, recomendamos adicionar à lista de negação do firewall os recursos e endereços IP de serviços em nuvem que fornecem tunelamento de tráfego. Além disso, deve-se exigir que os usuários evitem armazenar senhas em seus navegadores, pois isso ajuda os atacantes a acessar informações sensíveis," finaliza a Kaspersky.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...