عامل تهدید دائمی پیشرفته (APT) چینی موسوم به ToddyCat، اخیرا با مجموعه جدیدی از ابزارهای مخرب که جهت استخراج دادهها طراحی شدهاند، مرتبط دانسته شده است و بینش عمیقتری از تاکتیکها و قابلیتهای عوامل هک ارائه میدهد.
این یافتهها را Kaspersky منتشر کرد که اولین بار در سال گذشته Toddy را شناسایی کرده و آن را به حملات سه ساله علیه نهادهای مطرح در اروپا و آسیا مرتبط دانست.
در حالی که این گروه به طور ویژهای از تروجان Ninja (با قابلیت مدیریت فایل، reverse shell، مدیریت فرآیند) و درب پشتی Samurai استفاده میکرد، تحقیقات بیشتر حاکی از وجود مجموعه جدیدی از نرمافزارهای مخرب است که توسط عوامل تهدید به منظور فرار از شناسایی و دستیابی به پایداری، انجام عملیات فایل و بارگیری payloadهای اضافی در زمان اجرا (runtime) توسعه یافته و نگهداری میشود.
ابزارهای سفارشی جدید شامل موارد زیر است:
- مجموعهای از loaderها با قابلیت راهاندازی تروجان Ninja برای مرحله دوم
- ابزاری به نام سارق LoFiSe برای ردیابی و جمعآوری فایلهای دلخواه
- DropBox Uploader برای ذخیرهسازی دادههای سرقت شده در Dropbox و Pcexter جهت استخراج فایلهای آرشیو در Microsoft OneDrive
- اسکریپتهای سفارشی برای جمعآوری دادهها
- یک درب پشتی غیرفعال برای دریافت دستورها با UDP packet
- Cobalt Strike (مجموعه تست نفوذ) برای پس از بهرهبرداری و اعتبارنامههای ادمین دامنه به خطر افتاده جهت تسهیل حرکت جانبی و پیگیری فعالیتهای جاسوسی
به گفته Kaspersky، انواع اسکریپتها نیز مشاهده شدند که صرفاً برای جمعآوری دادهها و کپی فایلها در پوشههای خاص (بدون گنجاندن آنها در آرشیوهای فشرده) طراحی شده بودند. در این موارد، عوامل تهدید اسکریپت را روی میزبان راه دور با استفاده از تکنیک اجرای کار از راه دور استاندارد اجرا میکنند، سپس فایلهای جمعآوری شده با استفاده از ابزار xcopy به صورت دستی بهمیزبانی که از آن برای استخراج دیتاهای جمعآوری شده استفاده میکنندمنتقل و در نهایت با استفاده از باینری 7z فشرده میشوند.
این افشاگری در حالی منتشر شد که Check Point اعلام کرد نهادهای دولتی و مخابراتی در آسیا به عنوان بخشی از یک کمپین در حال انجام از سال 2021 با استفاده از طیف گستردهای از بدافزارهای منحصر به فرد برای فرار از شناسایی و ارائه بدافزارهای نهایی مورد هدف قرار گرفتهاند. در واقع این فعالیت به زیرساختهایی متکی است که با زیرساختهای مورد استفاده توسط جاسوسان سایبری ToddyCat همپوشانی دارد.