La firma de ciberseguridad rusa Kaspersky ha identificado al actor de amenazas llamado ToddyCat como un adversario que se basa en numerosos programas para recolectar datos a gran escala, principalmente de organizaciones gubernamentales en la región de Asia-Pacífico, incluyendo algunas relacionadas con la defensa.
Los investigadores de seguridad Andrey Gunkin, Alexander Fedotov y Natalya Shornikova señalaron que los atacantes necesitan automatizar el proceso de recolección de datos y proporcionar varios medios alternativos para acceder y monitorear continuamente los sistemas que atacan, a fin de recopilar grandes volúmenes de datos de muchos hosts.
ToddyCat fue documentado por primera vez por la empresa en junio de 2022 en conexión con una serie de ciberataques dirigidos a entidades gubernamentales y militares en Europa y Asia desde al menos diciembre de 2020. Estas intrusiones aprovecharon una puerta trasera pasiva llamada Samurai que permite el acceso remoto al host comprometido.
Una revisión detallada del modus operandi del actor de amenazas ha revelado herramientas adicionales de exfiltración de datos como LoFiSe y Pcexter para recopilar datos y subir archivos de archivo a Microsoft OneDrive.
El último conjunto de programas implica una combinación de software de recolección de datos en túneles, que se utilizan una vez que el atacante ya ha obtenido acceso a cuentas de usuario privilegiadas en el sistema infectado. Esto incluye túnel SSH inverso utilizando OpenSSH, SoftEther VPN, Ngrok y Krong para cifrar y redirigir el tráfico de control y comando (C2) a un puerto específico, Cliente FRP, Cuthead, WAExp, y TomBerBil.
Mantener múltiples conexiones simultáneas desde los puntos finales infectados hacia la infraestructura controlada por el actor utilizando diferentes herramientas se ve como un mecanismo de respaldo y una forma de retener el acceso en casos en que se descubra y elimine uno de los túneles.
Kaspersky advierte que los atacantes están utilizando técnicas para evadir las defensas y ocultar su presencia en el sistema. Por lo tanto, recomiendan agregar a la lista de denegación del firewall los recursos y direcciones IP de los servicios en la nube que proporcionan túneles de tráfico, y exigir a los usuarios que eviten almacenar contraseñas en sus navegadores, ya que esto ayuda a los atacantes a acceder a información sensible.
Vía The Hacker News