Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Агент advanced persistent threat (APT), известный как ToddyCat, был связан с новым набором вредоносных инструментов, предназначенных для удаления данных, что позволяет глубже понять тактику и возможности хакерской команды.
Выводы получены от Kaspersky, который впервые пролил свет на злоумышленника в прошлом году, связав его с атаками против известных организаций в Европе и Азии на протяжении почти трех лет.
В то время как в арсенале группы заметно присутствие троянца Ninja и бэкдора Samurai, дальнейшее расследование выявило целый новый набор вредоносных программ, разработанных и поддерживаемых злоумышленником для обеспечения сохраняемости, выполнения файловых операций и загрузки дополнительных полезных данных во время выполнения.
Он включает в себя набор загрузчиков, которые поставляются с возможностью запуска троянца Ninja в качестве второго этапа, инструмент под названием LoFiSe для поиска и сбора интересующих файлов, загрузчик DropBox для сохранения украденных данных в Dropbox и Pcexter для извлечения архивных файлов в Microsoft OneDrive.
Также было замечено, что ToddyCat использует пользовательские скрипты для сбора данных, пассивный бэкдор, который получает команды с UDP-пакетами, Cobalt Strike для последующей эксплуатации и скомпрометированные учетные данные администратора домена, чтобы облегчить горизонтальное перемещение для продолжения своей шпионской деятельности.
"Мы наблюдали варианты сценариев, предназначенных исключительно для сбора данных и копирования файлов в определенные папки, но без включения их в сжатые архивы", - сказал Касперский.
"В этих случаях исполнитель выполнял сценарий на удаленном хосте, используя стандартную технику удаленного выполнения задач. Затем собранные файлы были вручную перенесены на хост exfiltration с помощью утилиты xcopy и, наконец, сжаты с использованием двоичного файла 7z."
Раскрытие произошло после того, как Check Point выявил, что правительственные и телекоммуникационные организации в Азии стали мишенью в рамках продолжающейся с 2021 года кампании, использующей широкий спектр "одноразовых" вредоносных программ для уклонения от обнаружения и доставки вредоносного ПО следующего этапа.
Эта деятельность, по словам фирмы по кибербезопасности, опирается на инфраструктуру, которая пересекается с инфраструктурой, используемой ToddyCat.
Выводы получены от Kaspersky, который впервые пролил свет на злоумышленника в прошлом году, связав его с атаками против известных организаций в Европе и Азии на протяжении почти трех лет.
В то время как в арсенале группы заметно присутствие троянца Ninja и бэкдора Samurai, дальнейшее расследование выявило целый новый набор вредоносных программ, разработанных и поддерживаемых злоумышленником для обеспечения сохраняемости, выполнения файловых операций и загрузки дополнительных полезных данных во время выполнения.
Он включает в себя набор загрузчиков, которые поставляются с возможностью запуска троянца Ninja в качестве второго этапа, инструмент под названием LoFiSe для поиска и сбора интересующих файлов, загрузчик DropBox для сохранения украденных данных в Dropbox и Pcexter для извлечения архивных файлов в Microsoft OneDrive.
Также было замечено, что ToddyCat использует пользовательские скрипты для сбора данных, пассивный бэкдор, который получает команды с UDP-пакетами, Cobalt Strike для последующей эксплуатации и скомпрометированные учетные данные администратора домена, чтобы облегчить горизонтальное перемещение для продолжения своей шпионской деятельности.
"Мы наблюдали варианты сценариев, предназначенных исключительно для сбора данных и копирования файлов в определенные папки, но без включения их в сжатые архивы", - сказал Касперский.
"В этих случаях исполнитель выполнял сценарий на удаленном хосте, используя стандартную технику удаленного выполнения задач. Затем собранные файлы были вручную перенесены на хост exfiltration с помощью утилиты xcopy и, наконец, сжаты с использованием двоичного файла 7z."
Раскрытие произошло после того, как Check Point выявил, что правительственные и телекоммуникационные организации в Азии стали мишенью в рамках продолжающейся с 2021 года кампании, использующей широкий спектр "одноразовых" вредоносных программ для уклонения от обнаружения и доставки вредоносного ПО следующего этапа.
Эта деятельность, по словам фирмы по кибербезопасности, опирается на инфраструктуру, которая пересекается с инфраструктурой, используемой ToddyCat.
