El grupo de hackers ToddyCat utiliza herramientas avanzadas para el robo de datos a escala industrial

Luis Quiles

abril 23, 2024

Seguridad de la red

El actor de amenazas conocido como ToddyCat ha sido observado utilizando una amplia gama de herramientas para mantener acceso a entornos comprometidos y robar datos valiosos.

La firma rusa de ciberseguridad Kaspersky caracterizó al adversario como dependiente de varios programas para recolectar datos a escala industrial principalmente de organizaciones gubernamentales, algunas de ellas relacionadas con la defensa, ubicadas en la región de Asia-Pacífico.

«Para recolectar grandes volúmenes de datos de muchos hosts, los atacantes necesitan automatizar el proceso de recolección de datos tanto como sea posible y proporcionar varios medios alternativos para acceder y monitorear continuamente los sistemas que atacan», dijeron los investigadores de seguridad Andrey Gunkin, Alexander Fedotov y Natalya Shornikova.

ToddyCat fue documentado por primera vez por la compañía en junio de 2022 en relación con una serie de ciberataques dirigidos a entidades gubernamentales y militares en Europa y Asia desde al menos diciembre de 2020. Estas intrusiones aprovecharon una puerta trasera pasiva llamada Samurai que permite acceso remoto al host comprometido.

Un examen más detenido del modus operandi del actor de amenazas ha descubierto desde entonces herramientas adicionales de exfiltración de datos como LoFiSe y Pcexter para recopilar datos y cargar archivos de archivo en Microsoft OneDrive.

El último conjunto de programas implica una combinación de software de recopilación de datos de túneles, que se utilizan después de que el atacante ya ha obtenido acceso a cuentas de usuario privilegiadas en el sistema infectado. Esto incluye:

Túnel SSH inverso usando OpenSSH
SoftEther VPN, que se renombra a archivos aparentemente inofensivos como «boot.exe,» «mstime.exe,» «netscan.exe,» y «kaspersky.exe»
Ngrok y Krong para cifrar y redirigir el tráfico de comando y control (C2) a un puerto específico en el sistema objetivo
Cliente FRP, un proxy inverso rápido de código abierto basado en Golang
Cuthead, un ejecutable compilado en .NET para buscar documentos que coincidan con una extensión específica o un nombre de archivo, o la fecha en que fueron modificados
WAExp, un programa .NET para capturar datos asociados con la aplicación web de WhatsApp y guardarlos como un archivo, y
TomBerBil para extraer cookies y credenciales de navegadores web como Google Chrome y Microsoft Edge

Mantener múltiples conexiones simultáneas desde los puntos finales infectados a la infraestructura controlada por el actor utilizando diferentes herramientas se considera un mecanismo de respaldo y una forma de mantener el acceso en casos donde uno de los túneles es descubierto y desactivado.

«Los atacantes están utilizando activamente técnicas para eludir las defensas en un intento de ocultar su presencia en el sistema», dijo Kaspersky.

«Para proteger la infraestructura de la organización, recomendamos agregar a la lista de bloqueo del firewall los recursos y direcciones IP de los servicios en la nube que proporcionan túneles de tráfico. Además, se debe requerir a los usuarios que eviten almacenar contraseñas en sus navegadores, ya que esto ayuda a los atacantes a acceder a información sensible».

Tags :