Эксперты «Лаборатории Касперского» обнаружили новый набор вредоносных программ, который использует ToddyCat

Эксперты «Лаборатории Касперского» обнаружили новый набор вредоносных программ, который использует ToddyCat

Кибергруппа ToddyCat, которая проводит кампании кибершпионажа, в том числе и в Казахстане, совершенствует свои методы проведения атак и уклонения от обнаружения детектирующими технологиями. С помощью набора вредоносных программ злоумышленники собирают интересующие их файлы и загружают их на общедоступные и легитимные сервисы хостинга файлов.

Летом 2022 года эксперты «Лаборатории Касперского» уже сообщали об основных инструментах кибергруппы, к которым относятся троянец Ninja и бэкдор Samurai, а также загрузчиках для их запуска. Однако в прошлом году исследователи также обнаружили новое поколение загрузчиков, разработанных ToddyCat. Это свидетельствует о том, что кибергруппа продолжает совершенствовать свои методы.

Обнаруженные зловреды играют ключевую роль на этапе заражения, обеспечивая развёртывание троянца Ninja. В некоторых случаях ToddyCat заменяет стандартные загрузчики специальным вариантом, предназначенным для конкретных систем. Он отличается уникальной схемой шифрования, учитывающей специфические для системы атрибуты, такие как модель диска и путь GUID тома.

Чтобы обеспечить длительное присутствие в скомпрометированных системах, ToddyCat использует различные приёмы, в том числе создание ключа реестра и соответствующего сервиса. Это позволяет загружать вредоносный код при запуске системы, что напоминает методы, используемые группой в бэкдоре Samurai.

В ходе расследования эксперты «Лаборатории Касперского» обнаружили дополнительные инструменты и компоненты, используемые ToddyCat, в том числе Ninja — универсальный агент с функциями управления процессами, файловой системой, запуска обратного соединения (reverse shell), внедрения кода и перенаправления сетевого трафика. Также используются LoFiSe — для поиска определённых файлов, DropBox Uploader — для загрузки данных в Dropbox, Pcexter — для загрузки архивных файлов в OneDrive, Passive UDP Backdoor — для обеспечения длительного присутствия в системе, а также CobaltStrike — в качестве первоначального загрузчика, после которого часто происходит развёртывание Ninja.

Полученные данные показывают, с какой настойчивостью и какими методами злоумышленники проникают в корпоративные сети, перемещаются по ним и собирают важную информацию для достижения основной цели группы ToddyCat — кибершпионажа.

«ToddyCat не просто взламывает системы, а выполняет продуманные последовательные действия по сбору ценных данных в течение продолжительного времени, подстраиваясь под новые условия, чтобы оставаться незамеченными. Их продвинутые тактики и постоянная адаптация к изменениям указывают на то, что это не просто внезапные и кратковременные атаки, а длительная кампания. Ландшафт угроз меняется, и нужно не только проактивно противостоять известным кибератакам, но и быть в курсе новых угроз. Чтобы оставаться в безопасности, необходимо инвестировать в высокотехнологичные защитные решения и иметь доступ к самым актуальным данным от аналитиков в области ИБ», — комментирует Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского». 

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:

- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по ссылке https://opentip.kaspersky.com/;

- внедрять EDR-решения, например Kaspersky Endpoint Detection and Response, для обнаружения угроз на конечных устройствах, анализа и своевременного восстановления после инцидентов;

- в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform;

- обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.

Оцените новость

  • Ваша оценка
Итоги:
Проголосовало людей: 0

Оставить комментарий

Ваш e-mail не будет опубликован. Поля обязательны для заполненеия - *

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Кликните на изображение чтобы обновить код, если он неразборчив

Актуальные новости

Логотип

О портале

Новостной портал Казахстана, только свежие новости со всего мира!

© 2024 INFOZAKON. Все права защищены.

×