Aggiornamenti recenti Ottobre 10th, 2024 5:00 PM
Apr 24, 2024 Marina Londei Approfondimenti, Attacchi, News, RSS 0
ToddyCat, un gruppo APT che colpisce prevalentemente organizzazioni governative, continua a eseguire attacchi su larga scala per sottrarre informazioni sensibili. Attivo da dicembre 202, il gruppo ha automatizzato il processo di raccolta dei dati per colpire più host possibili e mantenere un accesso continuo ai sistemi.
In un’analisi sulle modalità di azione del gruppo, il team di SecureList di Kaspersky ha evidenziato che ToddyCat usa numerosi tool per implementare i tunnel che gli consentono di mantenere la persistenza sui sistemi colpiti e raccogliere informazioni. Dal momento che vengono usati diversi tunnel per una infrastruttura, anche se uno di questi viene eliminato la comunicazione permane.
Per istituire la comunicazione gli attaccanti generalmente usano tunnel reverse SSH e tool come SoftEtherVPN, una soluzione open-source che consente di creare connessioni VPN tramite gran parte dei protocolli più popolari, e usando ngrok e Krong. Questo secondo metodo permette al gruppo di effettuare un tunneling a un cloud provider legittimo sfruttando l’agent ngrok per poi redirezionare il traffico di rete e cifrarlo col proxy Krong.
Dopo aver creato i tunnel sugli host target, gli attaccanti installano il client FRP, un reverse proxy che consente di accedere dal web a un server locale situato dietro un NAT o un firewall.
I ricercatori di SecureList indicano che di recente il gruppo ha cominciato a usare cuthead, un tool in grado di cercare file con una specifica estensione o specifiche parole nel nome, con grandezza massima di 50Mb. Una volta eseguito, cuthead comincia una ricerca ricorsiva nel file system colpito su ogni drive disponibile, escluse cartelle come Program Files, Windows e Documents and Settings.
Un altro tool molto usato dal gruppo è WAExp, un data stealer che sottrae i file relativi alla versione web di Whatsapp web. I file contengono i dettagli del profilo dell’utente, dati sulle chat, dati sulla sessione corrente e i numeri di telefono delle persone con cui chattano.
ToddyCat è interessato non solo ai dati degli host, ma anche a ottenere accesso ai servizi online che usano gli utenti. Dopo aver ottenuto i privilegi di amministratore sul sistema, gli attaccanti riescono facilmente a decifrare i dati del browser contenenti cookie e password dell’utente, usati per l’auto-completamento dei form di login.
Per fare ciò, il gruppo utilizza diverse varianti di TomBerBil, un tool in grado di estrarre cookie e password sia da Chrome che da Edge. Una delle varianti dello strumento riesce a imitare Kaspersky Anti-Virus per eludere i controlli di sicurezza.
ToddyCat continua a colpire organizzazioni in tutto il mondo e sta evolvendo le sue tecniche per contrastare i nuovi mezzi di sicurezza. Per proteggersi da questi attacchi, SecureList consiglia di limitare il range di tool di amministratore permessi per accedere agli host remoti, limitare o eliminare i tool inutilizzati e istruire gli utenti a non salvare le password nei browser, oltre a non riutilizzare le stesse per diversi servizi.
Ott 02, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Set 19, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di businessOtt 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...