I ricercatori Kaspersky svelano l’evoluzione delle tattiche del gruppo APT ToddyCat nelle campagne di cyberspionaggio
I ricercatori di Kaspersky hanno recentemente scoperto importanti sviluppi nelle attività del gruppo Advanced Persistent Threat (APT) ToddyCat. Questi sviluppi includono l’evoluzione delle strategie del gruppo e una nuova serie di loader progettati per facilitare le operazioni malevole.
Il gruppo ToddyCat è stato rilevato per la prima volta nel dicembre 2020, quando ha condotto attacchi di alto profilo verso aziende in Europa e Asia. Inizialmente, l’attenzione del report di Kaspersky si è focalizzata sugli strumenti principali impiegati da ToddyCat, ovvero il Trojan Ninja e la Backdoor Samurai, nonché sui loader utilizzati per attivare questi payload malevoli. Sulla base di queste scoperte, gli esperti di Kaspersky hanno creato delle firme uniche per monitorare le attività dannose del gruppo. In seguito, una di queste firme è stata rilevata in un sistema, il che ha condotto i ricercatori verso la scoperta di nuovi strumenti impiegati da ToddyCat.
Nel corso dell’ultimo anno, i ricercatori di Kaspersky hanno individuato una nuova generazione di loader sviluppati da ToddyCat. Questa scoperta dimostra gli sforzi costanti del gruppo nell’affinare le proprie tecniche di attacco. I loader svolgono un ruolo fondamentale nella fase di infezione, permettendo la diffusione del Trojan Ninja. In alcuni casi, ToddyCat sostituisce i loader standard con varianti personalizzate, adattate a sistemi specifici. Questi loader personalizzati presentano funzionalità simili, ma si distinguono per il loro schema crittografico unico, che tiene conto delle caratteristiche specifiche del sistema, come il tipo di unità disco e il volume GUID (globally unique identifier).
Per mantenere una presenza costante sui sistemi infettati, ToddyCat utilizza diverse tecniche, tra cui la creazione di una chiave di registro e di un servizio corrispondente. Questo assicura che il codice malevolo venga caricato durante l’avvio del sistema, un approccio simile a quello utilizzato dalla backdoor Samurai del gruppo.
Le indagini di Kaspersky hanno rivelato l’esistenza di ulteriori strumenti e componenti aggiuntivi utilizzati da ToddyCat, tra cui l’agente Ninja, dotato di diverse funzionalità come il controllo dei processi, la gestione del file system, le sessioni di reverse shell, l’iniezione di codice e il reindirizzamento del traffico di rete. Inoltre, ToddyCat utilizza strumenti come LoFiSe per trovare file specifici, DropBox Uploader per il caricamento di dati su Dropbox, Pcexter per l’estrazione di file di archivio su OneDrive, una backdoor UDP passiva per garantire la persistenza e CobaltStrike come loader che comunica con un URL specifico, spesso precedendo la distribuzione del Trojan Ninja. Queste scoperte mettono in evidenza l’ampio arsenale di strumenti e tecniche adottato da ToddyCat.
Queste ultime scoperte confermano l’impegno di ToddyCat nell’attaccare obiettivi di spionaggio e spiegano come il gruppo riesca ad infiltrarsi nelle reti aziendali, spostarsi lateralmente e raccogliere informazioni preziose. ToddyCat utilizza diverse tattiche che includono la fase di scoperta, il catalogo dei domini e gli spostamenti laterali, al fine di raggiungere i propri obiettivi di spionaggio.
“ToddyCat non si accontenta di violare i sistemi, ma organizza operazioni a lungo termine per raccogliere informazioni preziose nel corso del tempo, adattandosi alle nuove circostanze per rimanere indisturbato. Le sue tattiche avanzate e la sua capacità di adattamento dimostrano che non si tratta di una minaccia passeggera. Le aziende devono riconoscere che il panorama delle minacce è in continua evoluzione, pertanto è importante non limitarsi alla difesa, ma rimanere sempre vigili e flessibili. Per garantire la sicurezza, è essenziale investire in soluzioni di sicurezza avanzate e avere accesso alle ultime scoperte di threat intelligence”, ha dichiarato Giampaolo Dedola, Lead Security Researcher presso GReAT di Kaspersky.
Al fine di evitare di cadere vittima di attacchi mirati da parte di criminali informatici noti o sconosciuti, gli esperti di Kaspersky raccomandano di adottare le seguenti misure di sicurezza:
- Consentire al team SOC l’accesso alle informazioni più recenti sulle minacce. Kaspersky Threat Intelligence Portal rappresenta un punto di accesso unico alla Threat Intelligence di Kaspersky, che fornisce dati e approfondimenti sui cyber attacchi raccolti dal team Kaspersky nel corso degli ultimi 20 anni.
- Formare il proprio team di sicurezza informatica per affrontare le minacce mirate più recenti grazie all’offerta di formazione online di Kaspersky, sviluppata dagli esperti di GreAT.
- Implementare soluzioni EDR come Kaspersky Endpoint Detection and Response, che consentono il rilevamento a livello endpoint, le indagini e la risoluzione immediata in caso di incidenti.
- Oltre a implementare una protezione di base per gli endpoint, è importante installare una soluzione di sicurezza aziendale come Kaspersky Anti Targeted Attack Platform, in grado di rilevare le minacce avanzate a livello di rete fin dalla fase iniziale.
- Visto che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è consigliabile organizzare sessioni di formazione per sensibilizzare il personale in merito alla sicurezza informatica e fornire competenze pratiche attraverso programmi come Kaspersky Automated Security Awareness Platform.
L’articolo originale è stato pubblicato su Data Manager Online.