.png)
Araştırmacılar ToddyCat'in Veri Hırsızlığı için Yeni Araç Setini Açıkladı
ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
ToddyCat olarak bilinen gelişmiş kalıcı tehdit (APT) aktörü, veri hırsızlığı için tasarlanmış yeni bir dizi kötü amaçlı araçla ilişkilendirildi ve bilgisayar korsanlığı ekibinin taktikleri ve yetenekleri hakkında daha derin bir içgörü sunuyor.
Bulgular, geçen yıl düşmana ilk kez ışık tutan ve onu yaklaşık üç yıldır Avrupa ve Asya'daki yüksek profilli kuruluşlara yönelik saldırılarla ilişkilendiren Kaspersky'den geliyor.
Grubun cephaneliğinde belirgin bir şekilde Ninja Trojan ve Samurai adlı bir arka kapı bulunurken, daha fazla araştırma, kalıcılık elde etmek, dosya işlemlerini yürütmek ve çalışma zamanında ek yükler yüklemek için aktör tarafından geliştirilen ve sürdürülen yepyeni bir dizi kötü amaçlı yazılımı ortaya çıkardı.
Bu, Ninja Truva Atı'nı ikinci aşama olarak başlatma yetenekleriyle birlikte gelen bir yükleyici koleksiyonu, ilgilenilen dosyaları bulmak ve toplamak için LoFiSe adlı bir araç, çalınan verileri Dropbox'a kaydetmek için bir DropBox yükleyici ve arşiv dosyalarını Microsoft OneDrive'a sızdırmak için Pcexter'ı içerir.
ToddyCat'in ayrıca veri toplama için özel komut dosyaları, UDP paketleriyle komutlar alan pasif bir arka kapı, istismar sonrası için Cobalt Strike ve casusluk faaliyetlerini sürdürmek için yanal hareketi kolaylaştırmak için güvenliği ihlal edilmiş etki alanı yöneticisi kimlik bilgileri kullandığı gözlemlendi.
Kaspersky, "Yalnızca veri toplamak ve dosyaları belirli klasörlere kopyalamak için tasarlanmış, ancak bunları sıkıştırılmış arşivlere dahil etmeden komut dosyası varyantlarını gözlemledik" dedi.
"Bu durumlarda, aktör senaryoyu standart uzaktan görev yürütme tekniğini kullanarak uzak ana bilgisayarda yürüttü. Toplanan dosyalar daha sonra xcopy yardımcı programı kullanılarak sızma ana bilgisayarına manuel olarak aktarıldı ve son olarak 7z ikili dosyası kullanılarak sıkıştırıldı."
Açıklama, Check Point'in Asya'daki hükümet ve telekom kuruluşlarının 2021'den beri devam eden bir kampanyanın parçası olarak hedef alındığını ve tespit edilmekten kaçınmak ve bir sonraki aşama kötü amaçlı yazılım sunmak için çok çeşitli "tek kullanımlık" kötü amaçlı yazılımlar kullandığını ortaya çıkarmasıyla geldi.
Siber güvenlik firmasına göre faaliyet, ToddyCat tarafından kullanılanla örtüşen altyapıya dayanıyor.
Benzer Haberler
Yapay Zeka Odaklı Fidye Yazılımı FunkSec, Çifte Gasp Taktikleri Kullanarak 85 Kurbanı Hedefliyor
Malspam'de SPF ve DMARC güvenlik korumalarından kaçınmak için kullanılan ihmal edilmiş alan adları
ABD, devlet destekli bilgisayar korsanlığı kampanyaları nedeniyle Çinli siber güvenlik firmasına yaptırım uyguladı
Üç Rus-Alman Vatandaşı Rus Gizli Servisi İçin Casuslukla Suçlandı
İran ve Rus Kuruluşları, Yapay Zeka ve Siber Taktikler Kullanarak Seçimlere Müdahale Ettikleri İçin Yaptırım Uyguladı
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor