O ator de ameaça conhecido como Gato Toddy foi observado o uso de uma ampla gama de ferramentas para manter o acesso a ambientes comprometidos e roubar dados valiosos.
A empresa russa de segurança cibernética Kaspersky caracterizou o adversário como dependente de vários programas para coletar dados em “escala industrial” principalmente de organizações governamentais, algumas delas relacionadas à defesa, localizadas na região Ásia-Pacífico.
“Para coletar grandes volumes de dados de muitos hosts, os invasores precisam automatizar o processo de coleta de dados tanto quanto possível e fornecer vários meios alternativos para acessar e monitorar continuamente os sistemas que atacam”, afirmam os pesquisadores de segurança Andrey Gunkin, Alexander Fedotov e Natalya Shornikova. disse.
O ToddyCat foi documentado pela primeira vez pela empresa em junho de 2022 em conexão com uma série de ataques cibernéticos direcionados a entidades governamentais e militares na Europa e na Ásia desde pelo menos dezembro de 2020. Essas invasões alavancaram um backdoor passivo denominado Samurai, que permite acesso remoto ao comprometido. hospedar.
Desde então, um exame mais detalhado da atuação do agente da ameaça revelou ferramentas adicionais de exfiltração de dados, como LoFiSe e Pcexter, para coletar dados e fazer add de arquivos compactados para o Microsoft OneDrive.
O conjunto mais recente de programas envolve uma combinação de software program de coleta de dados de tunelamento, que é colocado em uso depois que o invasor já obteve acesso a contas de usuários privilegiados no sistema infectado. Isso inclui –
- Túnel SSH reverso usando OpenSSH
- SoftEther VPN, que foi renomeado para arquivos aparentemente inócuos como “boot.exe”, “mstime.exe”, “netscan.exe” e “kaspersky.exe”
- Ngrok e Krong para criptografar e redirecionar o tráfego de comando e controle (C2) para uma determinada porta no sistema de destino
- Cliente FRP, um proxy reverso rápido baseado em Golang de código aberto
- Cuthead, um executável compilado em .NET para procurar documentos que correspondam a uma extensão ou nome de arquivo específico, ou à information em que foram modificados
- WAExp, um programa .NET para capturar dados associados ao aplicativo internet WhatsApp e salvá-los como um arquivo, e
- TomBerBil para extrair cookies e credenciais de navegadores como Google Chrome e Microsoft Edge
“Os invasores estão usando ativamente técnicas para contornar as defesas, na tentativa de mascarar sua presença no sistema”, disse Kaspersky.
“Para proteger a infraestrutura da organização, recomendamos adicionar à lista de bloqueio do firewall os recursos e endereços IP dos serviços em nuvem que fornecem tunelamento de tráfego. Além disso, os usuários devem ser obrigados a evitar o armazenamento de senhas em seus navegadores, pois isso ajuda os invasores a acessar informações confidenciais. .”