Gli aggiornamenti di Kaspersky sull’APT ToddyCat rivelano nuovi strumenti di attacco.
Autore: Redazione SecurityOpenLab
Proseguono le indagini dei ricercatori della threat intelligence di Kaspersky sul gruppo APT ToddyCat, responsabile di attacchi di alto profilo contro aziende in Europe e Asia. Rispetto ai dati collezionati in precedenza, Kaspersky ha scoperto interessanti sviluppi, fra cui l’evoluzione delle strategie di attacco e la nuova serie di loader progettati per agevolare le operazioni malevole.
Il gruppo è in circolazione da dicembre 2020 e di recente ha usato un nuovo set di malware che gli permette di raccogliere file ed esfiltrarli grazie a servizi di file hosting pubblici e legittimi. In particolare, la nuova generazione di loader gioca un ruolo essenziale nella fase di infezione, consentondo la diffusione del Trojan Ninja, uno storico strumento del gruppo. Gli esperti hanno rilevato che, per colpire obiettivi specifici e mirati, ToddyCat sostituisce i loader standard con una variante personalizzata dalle funzionalità simili, ma con uno schema crittografico unico.
Inoltre, con l’obiettivo di mantenere una persistenza a lungo termine sui sistemi compromessi, ToddyCat impiega tecniche diverse, tra cui la creazione di una chiave di registro e di un servizio corrispondente per sincerarsi che il codice malevolo venga caricato durante l’avvio del sistema, ricalcando i metodi della backdoor Samurai più volte impiegata dal gruppo. Non è tutto, perché Kaspersky ha rilevato altri strumenti e componenti aggiuntivi, come Ninja, un agent versatile con diverse funzionalità, fra cui la gestione dei processi, il controllo del file system, le sessioni di reverse shell, l’iniezione di codice e l’inoltro del traffico di rete.
Altri strumenti rintracciati dai ricercatori sono LoFiSe per trovare file specifici, DropBox Uploader per il caricamento di dati su Dropbox, Pcexter per l'esfiltrazione di file di archivio su OneDrive, una Backdoor UDP passiva per la persistenza. Non manca il solito CobaltStrike, ampiamente usato dagli attaccanti come loader. Nel caso specifico comunica con un URL e spesso precede la distribuzione di Ninja. Questi e ulteriori aggiornamenti sono pubblicati sul blog ufficiale di kaspersky.