Araştırmacılar ToddyCat'in Veri Hırsızlığı için Yeni Araç Setini Açıkladı
ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
Bulgular, geçen yıl düşmana ilk kez ışık tutan ve onu yaklaşık üç yıldır Avrupa ve Asya'daki yüksek profilli kuruluşlara yönelik saldırılarla ilişkilendiren Kaspersky'den geliyor.
Grubun cephaneliğinde belirgin bir şekilde Ninja Trojan ve Samurai adlı bir arka kapı bulunurken, daha fazla araştırma, kalıcılık elde etmek, dosya işlemlerini yürütmek ve çalışma zamanında ek yükler yüklemek için aktör tarafından geliştirilen ve sürdürülen yepyeni bir dizi kötü amaçlı yazılımı ortaya çıkardı.
Bu, Ninja Truva Atı'nı ikinci aşama olarak başlatma yetenekleriyle birlikte gelen bir yükleyici koleksiyonu, ilgilenilen dosyaları bulmak ve toplamak için LoFiSe adlı bir araç, çalınan verileri Dropbox'a kaydetmek için bir DropBox yükleyici ve arşiv dosyalarını Microsoft OneDrive'a sızdırmak için Pcexter'ı içerir.
ToddyCat'in ayrıca veri toplama için özel komut dosyaları, UDP paketleriyle komutlar alan pasif bir arka kapı, istismar sonrası için Cobalt Strike ve casusluk faaliyetlerini sürdürmek için yanal hareketi kolaylaştırmak için güvenliği ihlal edilmiş etki alanı yöneticisi kimlik bilgileri kullandığı gözlemlendi.
Kaspersky, "Yalnızca veri toplamak ve dosyaları belirli klasörlere kopyalamak için tasarlanmış, ancak bunları sıkıştırılmış arşivlere dahil etmeden komut dosyası varyantlarını gözlemledik" dedi.
"Bu durumlarda, aktör senaryoyu standart uzaktan görev yürütme tekniğini kullanarak uzak ana bilgisayarda yürüttü. Toplanan dosyalar daha sonra xcopy yardımcı programı kullanılarak sızma ana bilgisayarına manuel olarak aktarıldı ve son olarak 7z ikili dosyası kullanılarak sıkıştırıldı."
Açıklama, Check Point'in Asya'daki hükümet ve telekom kuruluşlarının 2021'den beri devam eden bir kampanyanın parçası olarak hedef alındığını ve tespit edilmekten kaçınmak ve bir sonraki aşama kötü amaçlı yazılım sunmak için çok çeşitli "tek kullanımlık" kötü amaçlı yazılımlar kullandığını ortaya çıkarmasıyla geldi.
Siber güvenlik firmasına göre faaliyet, ToddyCat tarafından kullanılanla örtüşen altyapıya dayanıyor.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı