ToddyCat APT 正在窃取“工业规模”的数据

高级持续威胁 (APT) 组织 被称为托迪猫 正在从亚太地区的政府和国防目标收集工业规模的数据。

卡巴斯基实验室跟踪该活动的研究人员本周将威胁行为者描述为使用多个同时连接到受害者环境来维持持久性并从中窃取数据。他们还发现了一套新工具，ToddyCat（ToddyCat 是 亚洲棕榈果子狸）用于从受害者系统和浏览器收集数据。

ToddyCat 网络攻击中的多个流量隧道

卡巴斯基安全研究人员在一份报告中表示：“使用不同的工具实现通往受感染基础设施的多条隧道，即使其中一条隧道被发现并被消除，攻击者也能保持对系统的访问。” 本周博客。 “通过确保对基础设施的持续访问，攻击者能够执行侦察并连接到远程主机。”

ToddyCat 很可能是一个讲中文的威胁行为者，卡巴斯基已将其与至少可追溯到 2020 年 XNUMX 月的攻击联系起来。在最初阶段，该组织似乎只关注台湾和越南的少数组织。但在公开披露所谓的信息后，威胁行为者迅速加大了攻击力度。 ProxyLogon 漏洞 2021 年 2021 月出现在 Microsoft Exchange Server 中。卡巴斯基认为 ToddyCat 可能是在 XNUMX 年 XNUMX 月之前就针对 ProxyLogon 漏洞的威胁行为者群体之一，但表示尚未找到证据支持这一猜想。  

2022年，卡巴斯基 报道 使用寻找 ToddyCat 演员 两个复杂的新恶意软件工具 被称为 Samurai 和 Ninja 的公司在亚洲和欧洲受害者的系统上分发 China Chopper（一种用于 Microsoft Exchange Server 攻击的著名商品 Web shell）。

维护持久访问、新鲜恶意软件

卡巴斯基对 ToddyCat 活动的最新调查显示，威胁行为者维持对受感染网络持续远程访问的策略是使用不同的工具建立多个隧道。其中包括使用反向 SSH 隧道来访问远程网络服务；使用 SoftEther VPN，这是一种开源工具，可通过 OpenVPN、L2TP/IPSec 和其他协议实现 VPN 连接；并使用轻量级代理 (Ngrok) 将命令和控制从攻击者控制的云基础设施重定向到受害者环境中的目标主机。

此外，卡巴斯基研究人员发现 ToddyCat 攻击者使用快速反向代理客户端来实现从互联网到防火墙或网络地址转换 (NAT) 机制后面的服务器的访问。

卡巴斯基的调查还显示，威胁行为者在其数据收集活动中使用了至少三种新工具。其中之一是被卡巴斯基称为“Cuthead”的恶意软件，它允许 ToddyCat 在受害者网络上搜索具有特定扩展名或单词的文件，并将它们存储在存档中。

卡巴斯基发现 ToddyCat 使用的另一个新工具是“WAExp”。该恶意软件的任务是搜索并收集 Web 版 WhatsApp 的浏览器数据。 

卡巴斯基研究人员表示：“对于 WhatsApp 网络应用程序的用户来说，他们的浏览器本地存储包含他们的个人资料详细信息、聊天数据、与他们聊天的用户的电话号码以及当前会话数据。”安全供应商指出，WAExp 允许攻击者通过复制浏览器的本地存储文件来访问这些数据。  

第三个工具被称为“TomBerBil”，它允许 ToddyCat 攻击者从 Chrome 和 Edge 浏览器窃取密码。

卡巴斯基说：“我们研究了几种工具，这些工具允许攻击者保持对目标基础设施的访问，并自动搜索和收集感兴趣的数据。” “攻击者正在积极使用绕过防御的技术，试图掩盖他们在系统中的存在。”

安全供应商建议组织阻止提供流量隧道的云服务的 IP 地址，并限制管理员可用于远程访问主机的工具。卡巴斯基表示，组织还需要删除或密切监控环境中任何未使用的远程访问工具，并鼓励用户不要在浏览器中存储密码。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-