تهدیدها

رونمایی محققان از مجموعه ابزارهای جدید ToddyCat برای استخراج داده‌ها

toddyact

عامل تهدید دائمی پیشرفته (APT) چینی موسوم به ToddyCat، اخیرا با مجموعه جدیدی از ابزارهای مخرب که جهت استخراج داده‌ها طراحی شده‌اند، مرتبط دانسته شده است و بینش عمیق‌تری از تاکتیک‌ها و قابلیت‌های عوامل هک ارائه می‌دهد.

این یافته‌ها را  Kaspersky منتشر کرد که اولین بار در سال گذشته Toddy را شناسایی کرده و آن را به حملات سه ساله علیه نهادهای مطرح در اروپا و آسیا مرتبط دانست.

در حالی که این گروه به طور ویژه‌ای از تروجان Ninja (با قابلیت مدیریت فایل، reverse shell، مدیریت فرآیند) و درب پشتی Samurai استفاده می‌کرد، تحقیقات بیشتر حاکی از وجود مجموعه جدیدی از نرم‌افزارهای مخرب است که توسط عوامل تهدید به منظور فرار از شناسایی و دستیابی به پایداری، انجام عملیات فایل و بارگیری payloadهای اضافی در زمان اجرا (runtime) توسعه یافته و نگهداری می‌شود.

ابزارهای سفارشی جدید شامل موارد زیر است:

  • مجموعه‌ای از loaderها با قابلیت راه‌اندازی تروجان Ninja برای مرحله دوم
  • ابزاری به نام سارق LoFiSe برای ردیابی و جمع‌آوری فایل‌های دلخواه
  •  DropBox Uploader برای ذخیره‌سازی داده‌های سرقت شده در Dropbox و Pcexter جهت استخراج فایل‌های آرشیو در Microsoft OneDrive
  • اسکریپت‌های سفارشی برای جمع‌آوری داده‌ها
  • یک درب پشتی غیرفعال برای دریافت دستورها با UDP packet
  • Cobalt Strike (مجموعه تست نفوذ) برای پس از بهره‌برداری و اعتبارنامه‌های ادمین دامنه به خطر افتاده جهت تسهیل حرکت جانبی و پیگیری فعالیت‌های جاسوسی

به گفته Kaspersky، انواع اسکریپت‌ها نیز مشاهده شدند که صرفاً برای جمع‌آوری داده‌ها و کپی فایل‌ها در پوشه‌های خاص (بدون گنجاندن آنها در آرشیوهای فشرده) طراحی شده‌ بودند. در این موارد، عوامل تهدید اسکریپت را روی میزبان راه دور با استفاده از تکنیک اجرای کار از راه دور استاندارد اجرا می‌کنند، سپس فایل‌های جمع‌آوری‌ شده با استفاده از ابزار xcopy به صورت دستی بهمیزبانی که از آن برای استخراج دیتاهای جمع‌آوری شده استفاده می‌کنندمنتقل و در نهایت با استفاده از باینری 7z فشرده می‌شوند.

این افشاگری در حالی منتشر شد که Check Point اعلام کرد نهادهای دولتی و مخابراتی در آسیا به عنوان بخشی از یک کمپین در حال انجام از سال 2021 با استفاده از طیف گسترده‌ای از بدافزارهای منحصر به فرد برای فرار از شناسایی و ارائه بدافزارهای نهایی مورد هدف قرار گرفته‌اند. در واقع این فعالیت به زیرساخت‌هایی متکی است که با زیرساخت‌های مورد استفاده توسط جاسوسان سایبری ToddyCat همپوشانی دارد.

مطالب مرتبط

Hamster Kombat

همستر کامبت از رویا تا واقعیت!

Microsoft Outlook

آسیب‌پذیری zero-click بحرانی در Microsoft Outlook

CVE-2024-30080: نفوذگران کنترل سیستم را با آسیب‌پذیری MSMQ به دست می‌آورند!