Эксперты "Лаборатории Касперского" обнаружили новый набор вредоносных программ, который использует ToddyCat

С помощью набора вредоносных программ злоумышленники собирают интересующие их файлы и загружают их на общедоступные и легитимные сервисы хостинга файлов.

Летом 2022 года эксперты "Лаборатории Касперского" уже сообщали об основных инструментах кибергруппы, к которым относятся троянец Ninja и бэкдор Samurai, а также загрузчиках для их запуска. Однако в прошлом году исследователи также обнаружили новое поколение загрузчиков, разработанных ToddyCat. Это свидетельствует о том, что кибергруппа продолжает совершенствовать свои методы.

Обнаруженные зловреды играют ключевую роль на этапе заражения, обеспечивая развёртывание троянца Ninja. В некоторых случаях ToddyCat заменяет стандартные загрузчики специальным вариантом, предназначенным для конкретных систем. Он отличается уникальной схемой шифрования, учитывающей специфические для системы атрибуты, такие как модель диска и путь GUID тома.

Чтобы обеспечить длительное присутствие в скомпрометированных системах, ToddyCat использует различные приёмы, в том числе создание ключа реестра и соответствующего сервиса. Это позволяет загружать вредоносный код при запуске системы, что напоминает методы, используемые группой в бэкдоре Samurai.

В ходе расследования эксперты "Лаборатории Касперского" обнаружили дополнительные инструменты и компоненты, используемые ToddyCat, в том числе Ninja — универсальный агент с функциями управления процессами, файловой системой, запуска обратного соединения (reverse shell), внедрения кода и перенаправления сетевого трафика. Также используются LoFiSe — для поиска определённых файлов, DropBox Uploader — для загрузки данных в Dropbox, Pcexter — для загрузки архивных файлов в OneDrive, Passive UDP Backdoor — для обеспечения длительного присутствия в системе, а также CobaltStrike — в качестве первоначального загрузчика, после которого часто происходит развёртывание Ninja.

Полученные данные показывают, с какой настойчивостью и какими методами злоумышленники проникают в корпоративные сети, перемещаются по ним и собирают важную информацию для достижения основной цели группы ToddyCat — кибершпионажа.

"ToddyCat не просто взламывает системы, а выполняет продуманные последовательные действия по сбору ценных данных в течение продолжительного времени, подстраиваясь под новые условия, чтобы оставаться незамеченными. Их продвинутые тактики и постоянная адаптация к изменениям указывают на то, что это не просто внезапные и кратковременные атаки, а длительная кампания. Ландшафт угроз меняется, и нужно не только проактивно противостоять известным кибератакам, но и быть в курсе новых угроз. Чтобы оставаться в безопасности, необходимо инвестировать в высокотехнологичные защитные решения и иметь доступ к самым актуальным данным от аналитиков в области ИБ", — комментирует Игорь Кузнецов, руководитель российского исследовательского центра "Лаборатории Касперского".

Чтобы защититься от сложных кибератак, "Лаборатория Касперского" рекомендует компаниям:

• предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы "Лаборатории Касперского". Свободный доступ к базовым функциям открыт по ссылке https://opentip.kaspersky.com/;
• внедрять EDR-решения, например Kaspersky Endpoint Detection and Response, для обнаружения угроз на конечных устройствах, анализа и своевременного восстановления после инцидентов;
• в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform;
• обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.