Cybersecurityonderzoekers van Kaspersky hebben belangrijke ontwikkelingen ontdekt in de activiteiten van de ToddyCat Advanced Persistent Threat (APT)-groep. De onderzoekers werpen licht op de evoluerende strategieën van de groep en de introductie van een nieuwe set loaders die zijn ontworpen om hun kwaadaardige activiteiten te vergemakkelijken. Bovendien werd tijdens het onderzoek een nieuwe set malware ontdekt die wordt ingezet door ToddyCat. Deze wordt gebruikt om interessante bestanden te verzamelen en te exfiltreren op openbare en legitieme bestandshostingservices. Deze bevindingen benadrukken het toenemende gewicht van cyberspionage en het aanpassingsvermogen van APT-groepen om detectie te omzeilen.
ToddyCat, een geraffineerde APT-groep die in December 2020 voor het eerst de aandacht trok door zijn geruchtmakende aanvallen op organisaties in Europa en Azië, blijft een geduchte bedreiging. In eerste instantie richtte Kaspersky's rapport zich op de belangrijkste tools van ToddyCat, de Ninja Trojan en Samurai Backdoor, evenals de loaders die werden gebruikt om deze schadelijke payloads te lanceren. Sindsdien hebben Kaspersky-experts speciale handtekeningen gemaakt om de kwaadaardige activiteiten te volgen. Een van de handtekeningen werd gedetecteerd op een systeem en de onderzoekers startten een nieuw onderzoek dat leidde tot de ontdekking van de nieuwe tools van ToddyCat.
In het afgelopen jaar hebben Kaspersky-onderzoekers een nieuwe generatie loaders ontdekt die zijn ontwikkeld door ToddyCat. Dit onderstreept de niet aflatende inspanningen van de groep om hun aanvalstechnieken te verfijnen. Deze loaders spelen een cruciale rol tijdens de infectiefase, waardoor de Ninja Trojan kan worden ingezet. Intrigerend genoeg vervangt ToddyCat af en toe de standaard loaders door een op maat gemaakte variant, aangepast voor specifieke doelsystemen. Deze op maat gemaakte loader vertoont vergelijkbare functionaliteit, maar onderscheidt zich door zijn unieke versleutelingsschema, dat rekening houdt met systeemspecifieke attributen zoals het schijfmodel en de GUID (globally unique identifier) van het volume.
Om een langdurige persistentie op aangetaste systemen te handhaven, gebruikt ToddyCat verschillende technieken, waaronder het aanmaken van een registersleutel en een bijbehorende service. Dit zorgt ervoor dat de kwaadaardige code tijdens het opstarten van het systeem wordt geladen, een tactiek die doet denken aan de methoden die worden gebruikt door de Samurai-backdoor van de groep.
Kaspersky's onderzoek heeft aanvullende tools en componenten aan het licht gebracht die worden gebruikt door ToddyCat. Waaronder Ninja, een veelzijdige agent met functies als procesbeheer, bestandsbeheer, reverse shell-sessions, code-injectie en doorsturen van netwerkverkeer. Ze maken ook gebruik van LoFiSe voor het vinden van specifieke bestanden, DropBox Uploader voor het uploaden van gegevens naar Dropbox, Pcexter voor het exfiltreren van archiefbestanden naar OneDrive, een Passive UDP Backdoor voor persistentie en CobaltStrike als een loader die communiceert met een specifieke URL, vaak voorafgaand aan de inzet van Ninja. Deze bevindingen onthullen de uitgebreide toolkit van ToddyCat.
Deze nieuwste bevindingen bevestigen ToddyCat's niet-aflatende jacht op spionage-gedreven doelstellingen en laten zien hoe de groep bedrijfsnetwerken infiltreert, zijwaartse bewegingen uitvoert en waardevolle informatie verzamelt. ToddyCat maakt gebruik van een scala aan tactieken, waaronder ontdekkingsactiviteiten, domeintelling en zijwaartse bewegingen, allemaal met een unieke focus op het bereiken van hun spionagedoelen.
"ToddyCat breekt niet alleen in op systemen; ze zetten langdurige operaties op om waardevolle informatie te verzamelen over een langere periode, terwijl ze zich aanpassen aan nieuwe omstandigheden om onopgemerkt te blijven. Hun geavanceerde tactieken en aanpassingsvermogen maken duide lijk dat dit geen hit-and- run is. ingen en toegang te hebben tot de nieuwste bevindingen op het gebied van bedreigingsinformatie," zegt Giampaolo Dedola, hoofd security researcher bij GReAT.
Ga voor meer inzicht in de activiteiten van ToddyCat naar Securelist.com
