ToddyCat Veri Hırsızlığına Dikkat
- 16 Ekim 2023, 02:01
ToddyCat Veri Hırsızlığına Dikkat
ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
Bulgular, geçen yıl düşmana ilk kez ışık tutan ve onu yaklaşık üç yıldır Avrupa ve Asya'daki yüksek profilli kuruluşlara yönelik saldırılarla ilişkilendiren Kaspersky'den geliyor.
Grubun cephaneliğinde belirgin bir şekilde Ninja Trojan ve Samurai adlı bir arka kapı bulunurken, daha fazla araştırma, kalıcılık elde etmek, dosya işlemlerini yürütmek ve çalışma zamanında ek yükler yüklemek için aktör tarafından geliştirilen ve sürdürülen yepyeni bir dizi kötü amaçlı yazılımı ortaya çıkardı.
Bu, Ninja Truva Atı'nı ikinci aşama olarak başlatma yetenekleriyle birlikte gelen bir yükleyici koleksiyonu, ilgilenilen dosyaları bulmak ve toplamak için LoFiSe adlı bir araç, çalınan verileri Dropbox'a kaydetmek için bir DropBox yükleyici ve arşiv dosyalarını Microsoft OneDrive'a sızdırmak için Pcexter'ı içerir.
ToddyCat'in ayrıca veri toplama için özel komut dosyaları, UDP paketleriyle komutlar alan pasif bir arka kapı, istismar sonrası için Cobalt Strike ve casusluk faaliyetlerini sürdürmek için yanal hareketi kolaylaştırmak için güvenliği ihlal edilmiş etki alanı yöneticisi kimlik bilgileri kullandığı gözlemlendi.
Kaspersky, "Yalnızca veri toplamak ve dosyaları belirli klasörlere kopyalamak için tasarlanmış, ancak bunları sıkıştırılmış arşivlere dahil etmeden komut dosyası varyantlarını gözlemledik" dedi.
"Bu durumlarda, aktör senaryoyu standart uzaktan görev yürütme tekniğini kullanarak uzak ana bilgisayarda yürüttü. Toplanan dosyalar daha sonra xcopy yardımcı programı kullanılarak sızma ana bilgisayarına manuel olarak aktarıldı ve son olarak 7z ikili dosyası kullanılarak sıkıştırıldı."
Açıklama, Check Point'in Asya'daki hükümet ve telekom kuruluşlarının 2021'den beri devam eden bir kampanyanın parçası olarak hedef alındığını ve tespit edilmekten kaçınmak ve bir sonraki aşama kötü amaçlı yazılım sunmak için çok çeşitli "tek kullanımlık" kötü amaçlı yazılımlar kullandığını ortaya çıkarmasıyla geldi.
Siber güvenlik firmasına göre faaliyet, ToddyCat tarafından kullanılanla örtüşen altyapıya dayanıyor.