Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Apr 24, 2024 Marina Londei Approfondimenti, Attacchi, News, RSS 0
ToddyCat, un gruppo APT che colpisce prevalentemente organizzazioni governative, continua a eseguire attacchi su larga scala per sottrarre informazioni sensibili. Attivo da dicembre 202, il gruppo ha automatizzato il processo di raccolta dei dati per colpire più host possibili e mantenere un accesso continuo ai sistemi.
In un’analisi sulle modalità di azione del gruppo, il team di SecureList di Kaspersky ha evidenziato che ToddyCat usa numerosi tool per implementare i tunnel che gli consentono di mantenere la persistenza sui sistemi colpiti e raccogliere informazioni. Dal momento che vengono usati diversi tunnel per una infrastruttura, anche se uno di questi viene eliminato la comunicazione permane.
Per istituire la comunicazione gli attaccanti generalmente usano tunnel reverse SSH e tool come SoftEtherVPN, una soluzione open-source che consente di creare connessioni VPN tramite gran parte dei protocolli più popolari, e usando ngrok e Krong. Questo secondo metodo permette al gruppo di effettuare un tunneling a un cloud provider legittimo sfruttando l’agent ngrok per poi redirezionare il traffico di rete e cifrarlo col proxy Krong.
Dopo aver creato i tunnel sugli host target, gli attaccanti installano il client FRP, un reverse proxy che consente di accedere dal web a un server locale situato dietro un NAT o un firewall.
I ricercatori di SecureList indicano che di recente il gruppo ha cominciato a usare cuthead, un tool in grado di cercare file con una specifica estensione o specifiche parole nel nome, con grandezza massima di 50Mb. Una volta eseguito, cuthead comincia una ricerca ricorsiva nel file system colpito su ogni drive disponibile, escluse cartelle come Program Files, Windows e Documents and Settings.
Un altro tool molto usato dal gruppo è WAExp, un data stealer che sottrae i file relativi alla versione web di Whatsapp web. I file contengono i dettagli del profilo dell’utente, dati sulle chat, dati sulla sessione corrente e i numeri di telefono delle persone con cui chattano.
ToddyCat è interessato non solo ai dati degli host, ma anche a ottenere accesso ai servizi online che usano gli utenti. Dopo aver ottenuto i privilegi di amministratore sul sistema, gli attaccanti riescono facilmente a decifrare i dati del browser contenenti cookie e password dell’utente, usati per l’auto-completamento dei form di login.
Per fare ciò, il gruppo utilizza diverse varianti di TomBerBil, un tool in grado di estrarre cookie e password sia da Chrome che da Edge. Una delle varianti dello strumento riesce a imitare Kaspersky Anti-Virus per eludere i controlli di sicurezza.
ToddyCat continua a colpire organizzazioni in tutto il mondo e sta evolvendo le sue tecniche per contrastare i nuovi mezzi di sicurezza. Per proteggersi da questi attacchi, SecureList consiglia di limitare il range di tool di amministratore permessi per accedere agli host remoti, limitare o eliminare i tool inutilizzati e istruire gli utenti a non salvare le password nei browser, oltre a non riutilizzare le stesse per diversi servizi.
Nov 12, 2024 0
Nov 11, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...