Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Come ToddyCat continua a sottrarre dati sensibili su larga scala
ToddyCat, un gruppo APT che colpisce prevalentemente organizzazioni governative, continua a eseguire attacchi su larga scala per sottrarre informazioni sensibili. Attivo da dicembre 202, il gruppo ha automatizzato il processo di raccolta dei dati per colpire più host possibili e mantenere un accesso continuo ai sistemi.
In un’analisi sulle modalità di azione del gruppo, il team di SecureList di Kaspersky ha evidenziato che ToddyCat usa numerosi tool per implementare i tunnel che gli consentono di mantenere la persistenza sui sistemi colpiti e raccogliere informazioni. Dal momento che vengono usati diversi tunnel per una infrastruttura, anche se uno di questi viene eliminato la comunicazione permane.
Per istituire la comunicazione gli attaccanti generalmente usano tunnel reverse SSH e tool come SoftEtherVPN, una soluzione open-source che consente di creare connessioni VPN tramite gran parte dei protocolli più popolari, e usando ngrok e Krong. Questo secondo metodo permette al gruppo di effettuare un tunneling a un cloud provider legittimo sfruttando l’agent ngrok per poi redirezionare il traffico di rete e cifrarlo col proxy Krong.
Dopo aver creato i tunnel sugli host target, gli attaccanti installano il client FRP, un reverse proxy che consente di accedere dal web a un server locale situato dietro un NAT o un firewall.
Come ToddyCat sottrae dati sensibili
I ricercatori di SecureList indicano che di recente il gruppo ha cominciato a usare cuthead, un tool in grado di cercare file con una specifica estensione o specifiche parole nel nome, con grandezza massima di 50Mb. Una volta eseguito, cuthead comincia una ricerca ricorsiva nel file system colpito su ogni drive disponibile, escluse cartelle come Program Files, Windows e Documents and Settings.
Un altro tool molto usato dal gruppo è WAExp, un data stealer che sottrae i file relativi alla versione web di Whatsapp web. I file contengono i dettagli del profilo dell’utente, dati sulle chat, dati sulla sessione corrente e i numeri di telefono delle persone con cui chattano.
ToddyCat è interessato non solo ai dati degli host, ma anche a ottenere accesso ai servizi online che usano gli utenti. Dopo aver ottenuto i privilegi di amministratore sul sistema, gli attaccanti riescono facilmente a decifrare i dati del browser contenenti cookie e password dell’utente, usati per l’auto-completamento dei form di login.
Per fare ciò, il gruppo utilizza diverse varianti di TomBerBil, un tool in grado di estrarre cookie e password sia da Chrome che da Edge. Una delle varianti dello strumento riesce a imitare Kaspersky Anti-Virus per eludere i controlli di sicurezza.
ToddyCat continua a colpire organizzazioni in tutto il mondo e sta evolvendo le sue tecniche per contrastare i nuovi mezzi di sicurezza. Per proteggersi da questi attacchi, SecureList consiglia di limitare il range di tool di amministratore permessi per accedere agli host remoti, limitare o eliminare i tool inutilizzati e istruire gli utenti a non salvare le password nei browser, oltre a non riutilizzare le stesse per diversi servizi.
Condividi l'articolo
Una nuova campagna di CoralRaider distribuisce infostealer tramite cache CDN
Kaspersky Next: protezione efficace e automatizzata degli endpoint
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
