Хак-группа ToddyCat усложняет свои кибершпионские кампании - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Хак-группа ToddyCat усложняет свои кибершпионские кампании - «Новости»

✔Хак-группа ToddyCat усложняет свои кибершпионские кампании - «Новости»

02 ноября 2023 840 Новости / Вёрстка / Текст / Отступы и поля / Преимущества стилей 0

Исследователи сообщают, что группировка ToddyCat совершенствует свои методы проведения атак и уклонения от обнаружения. С помощью нового набора малвари хакеры собирают интересующие их файлы жертв и загружают их в общедоступные и легитимные хостинговые сервисы.


Хак-группа ToddyCat усложняет свои кибершпионские кампании - «Новости»

Схема кражи данных

Летом прошлого года аналитики «Лаборатории Касперского» рассказали об обнаружении хак-группы ToddyCat, активной как минимум с 2020 года и совершившей множество атак на высокопоставленные организации в Европе и Азии.


Тогда специалисты описывали основные инструменты хакеров, включая троян Ninja, бэкдор Samurai, а также загрузчики для их запуска. Однако, новый отчет, вышедший на этой неделе, гласит, что в прошлом году было обнаружено новое поколение загрузчиков, разработанных ToddyCat. Это свидетельствует о том, что группировка продолжает совершенствовать свои методы.



Три варианта новых загрузчиков

Обнаруженная малварь играет ключевую роль на этапе заражения, обеспечивая развертывание упомянутого выше трояна Ninja. В некоторых случаях ToddyCat заменяет стандартные загрузчики специальным Tailored-вариантом (адаптивным загрузчиком), предназначенным для конкретных систем. Он отличается уникальной схемой шифрования, учитывающей специфические для системы атрибуты, такие как модель диска и путь GUID тома.


Чтобы закрепиться в скомпрометированных системах, злоумышленники используют различные приемы, в том числе создание ключа реестра и соответствующего сервиса. Это позволяет им загружать вредоносный код при запуске системы, и напоминает о методах, используемые группой в бэкдоре Samurai. Например, позволяет злоумышленникам спрятать вредоносную программу в адресном пространстве svchost.exe.


В ходе расследования эксперты «Лаборатории Касперского» обнаружили дополнительные инструменты и компоненты, используемые ToddyCat, в том числе обновленный Ninja — универсальный агент с функциями управления процессами, файловой системой, запуска reverse shell, внедрения кода и перенаправления сетевого трафика.


Последняя версия Ninja поддерживает те же команды, которые были описаны в предыдущем отчете, но с другой конфигурацией. Так, если в предыдущей версии обфускация встроенной конфигурации осуществлялась с помощью XOR-ключа 0xAA, то в новой версии для той же цели используется двоичная операция NOT.


Также сообщается, что хакеры по-прежнему используют LoFiSe (для поиска определенных файлов в системах жертв), DropBox Uploader (для загрузки данных в Dropbox), Pcexter (для загрузки архивных файлов в облако OneDrive), пассивный UDP-Backdoor (для обеспечения длительного присутствия в системе), а также CobaltStrike (в качестве первоначального загрузчика, после которого часто происходит развертывание Ninja).


«ToddyCat не просто взламывает системы, а выполняет продуманные последовательные действия по сбору ценных данных в течение продолжительного времени, подстраиваясь под новые условия, чтобы оставаться незамеченными. Их продвинутые тактики и постоянная адаптация к изменениям указывают на то, что это не просто внезапные и кратковременные атаки, а длительная кампания», — комментирует Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи сообщают, что группировка ToddyCat совершенствует свои методы проведения атак и уклонения от обнаружения. С помощью нового набора малвари хакеры собирают интересующие их файлы жертв и загружают их в общедоступные и легитимные хостинговые сервисы. Схема кражи данных Летом прошлого года аналитики «Лаборатории Касперского» рассказали об обнаружении хак-группы ToddyCat, активной как минимум с 2020 года и совершившей множество атак на высокопоставленные организации в Европе и Азии. Тогда специалисты описывали основные инструменты хакеров, включая троян Ninja, бэкдор Samurai, а также загрузчики для их запуска. Однако, новый отчет, вышедший на этой неделе, гласит, что в прошлом году было обнаружено новое поколение загрузчиков, разработанных ToddyCat. Это свидетельствует о том, что группировка продолжает совершенствовать свои методы. Три варианта новых загрузчиков Обнаруженная малварь играет ключевую роль на этапе заражения, обеспечивая развертывание упомянутого выше трояна Ninja. В некоторых случаях ToddyCat заменяет стандартные загрузчики специальным Tailored-вариантом (адаптивным загрузчиком), предназначенным для конкретных систем. Он отличается уникальной схемой шифрования, учитывающей специфические для системы атрибуты, такие как модель диска и путь GUID тома. Чтобы закрепиться в скомпрометированных системах, злоумышленники используют различные приемы, в том числе создание ключа реестра и соответствующего сервиса. Это позволяет им загружать вредоносный код при запуске системы, и напоминает о методах, используемые группой в бэкдоре Samurai. Например, позволяет злоумышленникам спрятать вредоносную программу в адресном пространстве svchost.exe. В ходе расследования эксперты «Лаборатории Касперского» обнаружили дополнительные инструменты и компоненты, используемые ToddyCat, в том числе обновленный Ninja — универсальный агент с функциями управления процессами, файловой системой, запуска reverse shell, внедрения кода и перенаправления сетевого трафика. Последняя версия Ninja поддерживает те же команды, которые были описаны в предыдущем отчете, но с другой конфигурацией. Так, если в предыдущей версии обфускация встроенной конфигурации осуществлялась с помощью XOR-ключа 0xAA, то в новой версии для той же цели используется двоичная операция NOT. Также сообщается, что хакеры по-прежнему используют LoFiSe (для поиска определенных файлов в системах жертв), DropBox Uploader (для загрузки данных в Dropbox), Pcexter (для загрузки архивных файлов в облако OneDrive), пассивный UDP-Backdoor (для обеспечения длительного присутствия в системе), а также CobaltStrike (в качестве первоначального загрузчика, после которого часто происходит развертывание Ninja). «ToddyCat не просто взламывает системы, а выполняет продуманные последовательные действия по сбору ценных данных в течение продолжительного времени, подстраиваясь под новые условия, чтобы оставаться незамеченными. Их продвинутые тактики и постоянная адаптация к изменениям указывают на то, что это не просто внезапные и кратковременные атаки, а длительная кампания», — комментирует Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».
CSS
запостил(а)
Oliver
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: