El actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) conocido como ToddyCat se ha vinculado a un nuevo conjunto de herramientas maliciosas diseñadas para la exfiltración de datos, lo que ofrece una visión más profunda de las tácticas y capacidades del equipo de hackers.
Los hallazgos provienen de Kaspersky, que arrojó luz por primera vez sobre el adversario el año pasado, vinculándolo con ataques contra entidades de alto perfil en Europa y Asia durante casi tres años.
Si bien el arsenal del grupo presenta de manera prominente Ninja Trojan y una puerta trasera llamada Samurai, una investigación adicional ha descubierto un conjunto completamente nuevo de software malicioso desarrollado y mantenido por el actor para lograr persistencia, realizar operaciones de archivos y cargar cargas útiles adicionales en tiempo de ejecución.
Esto comprende una colección de cargadores que viene con capacidades para lanzar el troyano Ninja como una segunda etapa, una herramienta llamada LoFiSe para encontrar y recopilar archivos de interés, un cargador de DropBox para guardar datos robados en Dropbox y Pcexter para filtrar archivos de almacenamiento a Microsoft OneDrive.
También se ha observado que ToddyCat utiliza scripts personalizados para la recopilación de datos, una puerta trasera pasiva que recibe comandos con paquetes UDP, Cobalt Strike para la posterior explotación y credenciales de administrador de dominio comprometidas para facilitar el movimiento lateral para llevar a cabo sus actividades de espionaje.
«Observamos variantes de script diseñadas únicamente para recopilar datos y copiar archivos en carpetas específicas, pero sin incluirlos en archivos comprimidos», dijo Kaspersky.
«En estos casos, el actor ejecutó el script en el host remoto utilizando la técnica estándar de ejecución de tareas remotas. A continuación, los archivos recopilados se transfirieron manualmente al host de exfiltración utilizando la utilidad xcopy y, finalmente, se comprimieron utilizando el binario 7z».
La revelación se produce cuando Check Point reveló que las entidades gubernamentales y de telecomunicaciones en Asia han sido atacadas como parte de una campaña en curso desde 2021 que utiliza una amplia variedad de malware «desechable» para evadir la detección y entregar malware de la siguiente etapa.
Fuente: https://thehackernews.com