被稱為ToddyCat的高級持續威脅 (APT) 攻擊者已與一組新的惡意工具相關聯,這些工具專為數據泄露而設計,可以更深入地了解黑客團隊的策略和能力。
這些調查結果來自卡巴斯基,該公司去年首次揭露了該對手,并將其與近三年來針對歐洲和亞洲知名實體的攻擊聯系起來。
雖然該組織的武器庫主要以 Ninja 木馬和名為 Samurai 的后門為特色,但進一步調查發現,該組織開發和維護了一套全新的惡意軟件,用于實現持久性、進行文件操作并在運行時加載額外的有效負載。
這包括一系列加載程序,能夠在第二階段啟動 Ninja 特洛伊木馬、一個名為 LoFiSe 的工具(用于查找和收集感興趣的文件)、一個 DropBox 上傳程序(用于將被盜數據保存到 Dropbox)以及 Pcexter(用于將存檔文件泄露到 Microsoft)一個驅動器。
還觀察到 ToddyCat 使用自定義腳本進行數據收集、使用 UDP 數據包接收命令的被動后門、用于后利用的 Cobalt Strike 以及受損的域管理憑據以促進橫向移動以進行間諜活動。
卡巴斯基說:“我們觀察到腳本變體專門用于收集數據并將文件復制到特定文件夾,但不將它們包含在壓縮檔案中。”
“在這些情況下,攻擊者使用標準遠程任務執行技術在遠程主機上執行腳本。然后使用 xcopy 實用程序將收集的文件手動傳輸到滲透主機,最后使用 7z 二進制文件進行壓縮。”
此次披露之際,Check Point透露,自 2021 年以來,亞洲的政府和電信實體已成為一項持續活動的目標,該活動使用各種“一次性”惡意軟件來逃避檢測并傳播下一階段的惡意軟件。
根據網絡安全公司的說法,該活動依賴于與 ToddyCat 使用的基礎設施重疊的基礎設施。
