ToddyCat: хакеры плотно нацелились на правительства азиатских стран

Специалисты из «Лаборатории Касперского» обнаружили, что хакерская группа ToddyCat использует широкий ассортимент инструментов для сохранения доступа к скомпрометированным системам и кражи ценных данных. Группа, активно работающая с декабря 2020 года, специализируется на атаках в основном на правительственные и оборонные организации Азиатско-Тихоокеанского региона.

Основным инструментом взлома является пассивный бэкдор Samurai, позволяющий удалённо управлять заражёнными хостами. По словам исследователей Андрея Гунькина, Александра Федотова и Натальи Шорниковой, для сбора данных с большого числа хостов хакеры максимально автоматизировали процесс, используя несколько альтернативных способов непрерывного доступа и мониторинга систем.

Кроме вредоноса Samurai, ToddyCat также внедряет дополнительные инструменты для эксфильтрации данных, такие как LoFiSe и Pcexter для сбора данных и загрузки архивных файлов в Microsoft OneDrive. Дополнительные программы включают туннелирование данных с помощью различного ПО:

• Обратный SSH-туннель с использованием OpenSSH;
• SoftEther VPN, маскируемый под безобидные файлы, такие как «boot.exe», «mstime.exe», «netscan.exe» и «kaspersky.exe»;
• Ngrok и Krong для шифрования и перенаправления трафика управления и контроля;
• FRP, клиент быстрого обратного прокси на базе Golang;
• Cuthead, исполняемый файл .NET для поиска документов по расширению, имени или дате изменения;
• WAExp, программа .NET для захвата данных из веб-приложения WhatsApp и сохранения их в архиве;
• TomBerBil для извлечения cookie и учётных данных из веб-браузеров, включая Google Chrome и Microsoft Edge.

Эти инструменты позволяют поддерживать множество одновременных соединений с заражёнными конечными точками и контролируемой инфраструктурой, что служит резервным механизмом для сохранения доступа в случае обнаружения одного из каналов.

«Лаборатория Касперского» предупреждает, что для защиты инфраструктуры организаций необходимо добавить в список блокировки брандмауэра ресурсы и IP-адреса облачных сервисов, предоставляющих туннелирование трафика. Также рекомендуется не сохранять пароли в браузерах, чтобы предотвратить доступ хакеров к чувствительной информации.