Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Apr 24, 2024 Marina Londei Approfondimenti, Attacchi, News, RSS 0
ToddyCat, un gruppo APT che colpisce prevalentemente organizzazioni governative, continua a eseguire attacchi su larga scala per sottrarre informazioni sensibili. Attivo da dicembre 202, il gruppo ha automatizzato il processo di raccolta dei dati per colpire più host possibili e mantenere un accesso continuo ai sistemi.
In un’analisi sulle modalità di azione del gruppo, il team di SecureList di Kaspersky ha evidenziato che ToddyCat usa numerosi tool per implementare i tunnel che gli consentono di mantenere la persistenza sui sistemi colpiti e raccogliere informazioni. Dal momento che vengono usati diversi tunnel per una infrastruttura, anche se uno di questi viene eliminato la comunicazione permane.
Per istituire la comunicazione gli attaccanti generalmente usano tunnel reverse SSH e tool come SoftEtherVPN, una soluzione open-source che consente di creare connessioni VPN tramite gran parte dei protocolli più popolari, e usando ngrok e Krong. Questo secondo metodo permette al gruppo di effettuare un tunneling a un cloud provider legittimo sfruttando l’agent ngrok per poi redirezionare il traffico di rete e cifrarlo col proxy Krong.
Dopo aver creato i tunnel sugli host target, gli attaccanti installano il client FRP, un reverse proxy che consente di accedere dal web a un server locale situato dietro un NAT o un firewall.
I ricercatori di SecureList indicano che di recente il gruppo ha cominciato a usare cuthead, un tool in grado di cercare file con una specifica estensione o specifiche parole nel nome, con grandezza massima di 50Mb. Una volta eseguito, cuthead comincia una ricerca ricorsiva nel file system colpito su ogni drive disponibile, escluse cartelle come Program Files, Windows e Documents and Settings.
Un altro tool molto usato dal gruppo è WAExp, un data stealer che sottrae i file relativi alla versione web di Whatsapp web. I file contengono i dettagli del profilo dell’utente, dati sulle chat, dati sulla sessione corrente e i numeri di telefono delle persone con cui chattano.
ToddyCat è interessato non solo ai dati degli host, ma anche a ottenere accesso ai servizi online che usano gli utenti. Dopo aver ottenuto i privilegi di amministratore sul sistema, gli attaccanti riescono facilmente a decifrare i dati del browser contenenti cookie e password dell’utente, usati per l’auto-completamento dei form di login.
Per fare ciò, il gruppo utilizza diverse varianti di TomBerBil, un tool in grado di estrarre cookie e password sia da Chrome che da Edge. Una delle varianti dello strumento riesce a imitare Kaspersky Anti-Virus per eludere i controlli di sicurezza.
ToddyCat continua a colpire organizzazioni in tutto il mondo e sta evolvendo le sue tecniche per contrastare i nuovi mezzi di sicurezza. Per proteggersi da questi attacchi, SecureList consiglia di limitare il range di tool di amministratore permessi per accedere agli host remoti, limitare o eliminare i tool inutilizzati e istruire gli utenti a non salvare le password nei browser, oltre a non riutilizzare le stesse per diversi servizi.
Mag 02, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...