Nhóm tấn công ToddyCat sử dụng công cụ nâng cao nhằm đánh cắp dữ liệu

- Nhóm tấn công ToddyCat đã bị phát hiện khi họ sử dụng một loạt công cụ để xâm nhập vào môi trường hệ thống người dùng và đánh cắp dữ liệu quan trọng. Các cơ quan bảo mật cho biết rằng nhóm này đã sử dụng nhiều công cụ khác nhau để thu thập dữ liệu quy mô lớn từ các tổ chức chính phủ và quốc phòng ở khu vực châu Á Thái Bình Dương.

Nhóm ToddyCat được phát hiện lần đầu vào tháng 06/2022 khi họ tiến hành hàng loạt cuộc tấn công vào các tổ chức chính phủ và quân đội ở châu Âu và châu Á. Cuộc tấn công bắt đầu từ tháng 12/2020 và tiếp diễn trong một khoảng thời gian dài. Trong chiến dịch này, nhóm ToddyCat đã sử dụng một loại backdoor thụ động được gọi là Samurai, cho phép họ kiểm soát từ xa các hệ thống bị nhiễm mã độc.

Sau khi phân tích kỹ về hoạt động của nhóm ToddyCat, đã phát hiện nhóm này sử dụng một số công cụ như LoFiSe và Pcexter để trích xuất dữ liệu và đưa lên Microsoft OneDrive. Trong chiến dịch tấn công mới nhất, ToddyCat đã mở rộng danh mục công cụ bang cách thêm vào phần mềm thu thập dữ liệu thông qua các kênh tunnel. Thường thì điều này xảy ra sau khi nhóm này đã có quyền truy cập vào các tài khoản có đặc quyền trên hệ thống.

Các công cụ và kỹ thuật này bao gồm:

• Reverse SSH tunnel sử dụng OpenSSH

• SoftEther VPN, được đặt lại tên file thành "boot.exe," "mstime.exe," "netscan.exe," and "kaspersky.exe"

• Ngrok và Krong dùng để mã hóa và điều hướng lưu lượng của C&C tới cổng chỉ định trên hệ thống.

• FRP client, một reverse proxy tốc độ cao được viết bằng Golang

• Cuthead, một file thực thi .NET có mục đích dò tìm văn bản có định dạng file hoặc tên file khớp yêu cầu đặt ra; hoặc dựa trên thời gian file này được sửa đổi.

• WAExp, chương trình .NET dùng để thu thập dữ liệu của ứng dụng WhatsApp rồi lưu lại thành file nén.

• TomBerBil để trích xuất cookies và thông tin xác thực từ trình duyệt web Chrome, Edge.

Nhóm tấn công duy trì nhiều kết nối đến cùng một thiết bị bị nhiễm mã độc, tất cả đều kết nối đến hạ tầng C&C được điều khiển bởi đối tượng. Họ sử dụng các công cụ khác nhau như biện pháp dự phòng để luôn duy trì kết nối, trong trường hợp một trong các tunnel này bị phát hiện và ngừng hoạt động.

Chuyên gia bảo mật khuyến nghị rằng người quản trị nên sử dụng tường lửa để chặn tài nguyên và địa chỉ IP của các dịch vụ Cloud có khả năng tạo tunnel lưu lượng. Ngoài ra, người dùng cũng nên tránh lưu mật khẩu trên trình duyệt web để tăng cường an ninh cho hạ tầng của tổ chức.

Một số IoC được ghi nhận:

103.27.202[.]85

118.193.40[.]42

Ha[.]bbmouseme[.]com

PV (theo https://thehackernew.com)