Новости ToddyCat: хакеры плотно нацелились на правительства азиатских стран

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Бэкдор Samurai не оставляет жертвам ни малейшего шанса на сохранность данных.


evthjkvf1eo0ultn4uynf6m6qvqflr72.jpg


Специалисты из «Лаборатории Касперского» Для просмотра ссылки Войди или Зарегистрируйся что хакерская группа ToddyCat использует широкий ассортимент инструментов для сохранения доступа к скомпрометированным системам и кражи ценных данных. Группа, активно работающая с декабря 2020 года, специализируется на атаках в основном на правительственные и оборонные организации Азиатско-Тихоокеанского региона.

Основным инструментом взлома является пассивный бэкдор Samurai, позволяющий удалённо управлять заражёнными хостами. По словам исследователей Андрея Гунькина, Александра Федотова и Натальи Шорниковой, для сбора данных с большого числа хостов хакеры максимально автоматизировали процесс, используя несколько альтернативных способов непрерывного доступа и мониторинга систем.

Кроме вредоноса Samurai, ToddyCat также внедряет дополнительные инструменты для эксфильтрации данных, такие как LoFiSe и Pcexter для сбора данных и загрузки архивных файлов в Microsoft OneDrive. Дополнительные программы включают туннелирование данных с помощью различного ПО:

  • Обратный SSH-туннель с использованием OpenSSH;
  • SoftEther VPN, маскируемый под безобидные файлы, такие как «boot.exe», «mstime.exe», «netscan.exe» и «kaspersky.exe»;
  • Ngrok и Krong для шифрования и перенаправления трафика управления и контроля;
  • FRP, клиент быстрого обратного прокси на базе Golang;
  • Cuthead, исполняемый файл .NET для поиска документов по расширению, имени или дате изменения;
  • WAExp, программа .NET для захвата данных из веб-приложения WhatsApp и сохранения их в архиве;
  • TomBerBil для извлечения cookie и учётных данных из веб-браузеров, включая Google Chrome и Microsoft Edge.
Эти инструменты позволяют поддерживать множество одновременных соединений с заражёнными конечными точками и контролируемой инфраструктурой, что служит резервным механизмом для сохранения доступа в случае обнаружения одного из каналов.

«Лаборатория Касперского» предупреждает, что для защиты инфраструктуры организаций необходимо добавить в список блокировки брандмауэра ресурсы и IP-адреса облачных сервисов, предоставляющих туннелирование трафика. Также рекомендуется не сохранять пароли в браузерах, чтобы предотвратить доступ хакеров к чувствительной информации.
 
Источник новости
www.securitylab.ru

Похожие темы