Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Apr 24, 2024 Marina Londei Approfondimenti, Attacchi, News, RSS 0
ToddyCat, un gruppo APT che colpisce prevalentemente organizzazioni governative, continua a eseguire attacchi su larga scala per sottrarre informazioni sensibili. Attivo da dicembre 202, il gruppo ha automatizzato il processo di raccolta dei dati per colpire più host possibili e mantenere un accesso continuo ai sistemi.
In un’analisi sulle modalità di azione del gruppo, il team di SecureList di Kaspersky ha evidenziato che ToddyCat usa numerosi tool per implementare i tunnel che gli consentono di mantenere la persistenza sui sistemi colpiti e raccogliere informazioni. Dal momento che vengono usati diversi tunnel per una infrastruttura, anche se uno di questi viene eliminato la comunicazione permane.
Per istituire la comunicazione gli attaccanti generalmente usano tunnel reverse SSH e tool come SoftEtherVPN, una soluzione open-source che consente di creare connessioni VPN tramite gran parte dei protocolli più popolari, e usando ngrok e Krong. Questo secondo metodo permette al gruppo di effettuare un tunneling a un cloud provider legittimo sfruttando l’agent ngrok per poi redirezionare il traffico di rete e cifrarlo col proxy Krong.
Dopo aver creato i tunnel sugli host target, gli attaccanti installano il client FRP, un reverse proxy che consente di accedere dal web a un server locale situato dietro un NAT o un firewall.
I ricercatori di SecureList indicano che di recente il gruppo ha cominciato a usare cuthead, un tool in grado di cercare file con una specifica estensione o specifiche parole nel nome, con grandezza massima di 50Mb. Una volta eseguito, cuthead comincia una ricerca ricorsiva nel file system colpito su ogni drive disponibile, escluse cartelle come Program Files, Windows e Documents and Settings.
Un altro tool molto usato dal gruppo è WAExp, un data stealer che sottrae i file relativi alla versione web di Whatsapp web. I file contengono i dettagli del profilo dell’utente, dati sulle chat, dati sulla sessione corrente e i numeri di telefono delle persone con cui chattano.
ToddyCat è interessato non solo ai dati degli host, ma anche a ottenere accesso ai servizi online che usano gli utenti. Dopo aver ottenuto i privilegi di amministratore sul sistema, gli attaccanti riescono facilmente a decifrare i dati del browser contenenti cookie e password dell’utente, usati per l’auto-completamento dei form di login.
Per fare ciò, il gruppo utilizza diverse varianti di TomBerBil, un tool in grado di estrarre cookie e password sia da Chrome che da Edge. Una delle varianti dello strumento riesce a imitare Kaspersky Anti-Virus per eludere i controlli di sicurezza.
ToddyCat continua a colpire organizzazioni in tutto il mondo e sta evolvendo le sue tecniche per contrastare i nuovi mezzi di sicurezza. Per proteggersi da questi attacchi, SecureList consiglia di limitare il range di tool di amministratore permessi per accedere agli host remoti, limitare o eliminare i tool inutilizzati e istruire gli utenti a non salvare le password nei browser, oltre a non riutilizzare le stesse per diversi servizi.
Lug 17, 2024 0
Lug 11, 2024 0
Lug 05, 2024 0
Giu 20, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...