O grupo de ameaça persistente avançada (APT) conhecido como ToddyCat foi associado a um novo conjunto de ferramentas maliciosas projetadas para exfiltração de dados.
Isso oferece uma visão mais aprofundada das táticas e capacidades da equipe de hackers. As descobertas são da Kaspersky, que lançou luz sobre o adversário no ano passado, associando-o a ataques contra entidades de alto perfil na Europa e na Ásia por quase três anos.
Embora o arsenal do grupo destaque o Trojan Ninja e um backdoor chamado Samurai, investigações adicionais revelaram um novo conjunto de software malicioso desenvolvido e mantido pelo ator para alcançar persistência, realizar operações de arquivo e carregar cargas úteis adicionais em tempo de execução.
Isso inclui uma coleção de carregadores com capacidades para lançar o Trojan Ninja como uma segunda etapa, uma ferramenta chamada LoFiSe para encontrar e coletar arquivos de interesse, um uploader do DropBox para salvar dados roubados no Dropbox e Pcexter para exfiltrar arquivos de arquivo para o Microsoft OneDrive.
ToddyCat também foi observado utilizando scripts personalizados para coleta de dados, um backdoor passivo que recebe comandos com pacotes UDP, Cobalt Strike para pós-exploração e credenciais de administrador de domínio comprometidas para facilitar o movimento lateral em suas atividades de espionagem.
“Observamos variantes de script projetadas exclusivamente para coletar dados e copiar arquivos para pastas específicas, mas sem incluí-los em arquivos compactados”, disse a Kaspersky.
