В Казахстане обнаружены кампании кибершпионажа
Эксперты «Лаборатории Касперского» обнаружили новый набор вредоносных программ, который использует ToddyCat.
Кибергруппа ToddyCat, которая проводит кампании кибершпионажа, в том числе и в Казахстане, совершенствует свои методы проведения атак и уклонения от обнаружения детектирующими технологиями. С помощью набора вредоносных программ злоумышленники собирают интересующие их файлы и загружают их на общедоступные и легитимные сервисы хостинга файлов.
Летом 2022 года эксперты «Лаборатории Касперского» уже сообщали об основных инструментах кибергруппы, к которым относятся троянец Ninja и бэкдор Samurai, а также загрузчиках для их запуска. Однако в прошлом году исследователи также обнаружили новое поколение загрузчиков, разработанных ToddyCat. Это свидетельствует о том, что кибергруппа продолжает совершенствовать свои методы.
Обнаруженные зловреды играют ключевую роль на этапе заражения, обеспечивая развёртывание троянца Ninja. В некоторых случаях ToddyCat заменяет стандартные загрузчики специальным вариантом, предназначенным для конкретных систем. Он отличается уникальной схемой шифрования, учитывающей специфические для системы атрибуты, такие как модель диска и путь GUID тома.
Чтобы обеспечить длительное присутствие в скомпрометированных системах, ToddyCat использует различные приёмы, в том числе создание ключа реестра и соответствующего сервиса. Это позволяет загружать вредоносный код при запуске системы, что напоминает методы, используемые группой в бэкдоре Samurai.
В ходе расследования эксперты «Лаборатории Касперского» обнаружили дополнительные инструменты и компоненты, используемые ToddyCat, в том числе Ninja — универсальный агент с функциями управления процессами, файловой системой, запуска обратного соединения (reverse shell), внедрения кода и перенаправления сетевого трафика. Также используются LoFiSe — для поиска определённых файлов, DropBox Uploader — для загрузки данных в Dropbox, Pcexter — для загрузки архивных файлов в OneDrive, Passive UDP Backdoor — для обеспечения длительного присутствия в системе, а также CobaltStrike — в качестве первоначального загрузчика, после которого часто происходит развёртывание Ninja.
Полученные данные показывают, с какой настойчивостью и какими методами злоумышленники проникают в корпоративные сети, перемещаются по ним и собирают важную информацию для достижения основной цели группы ToddyCat — кибершпионажа.
«ToddyCat не просто взламывает системы, а выполняет продуманные последовательные действия по сбору ценных данных в течение продолжительного времени, подстраиваясь под новые условия, чтобы оставаться незамеченными. Их продвинутые тактики и постоянная адаптация к изменениям указывают на то, что это не просто внезапные и кратковременные атаки, а длительная кампания. Ландшафт угроз меняется, и нужно не только проактивно противостоять известным кибератакам, но и быть в курсе новых угроз. Чтобы оставаться в безопасности, необходимо инвестировать в высокотехнологичные защитные решения и иметь доступ к самым актуальным данным от аналитиков в области ИБ», — комментирует Игорь Кузнецов, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:
• предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах;
• внедрять EDR-решения для обнаружения угроз на конечных устройствах, анализа и своевременного восстановления после инцидентов;
• в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии;
• обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.