Des outils pour l’exfiltration de données

L’acteur de la menace persistante avancée (APT) connu sous le nom de ToddyCat a été associé à une nouvelle série d’outils malveillants conçus pour l’exfiltration de données, ce qui permet de mieux comprendre les tactiques et les capacités de l’équipe de pirates.

Les résultats sont fournis par Kaspersky, qui a commencé à faire la lumière sur cet adversaire l’année dernière, en l’associant à des attaques contre des entités de premier plan en Europe et en Asie pendant près de trois ans.

Alors que l’arsenal du groupe comprend principalement le cheval de Troie Ninja et une porte dérobée appelée Samurai, une enquête plus approfondie a permis de découvrir un tout nouvel ensemble de logiciels malveillants développés et maintenus par l’acteur pour atteindre la persistance, effectuer des opérations sur les fichiers et charger des charges utiles supplémentaires au moment de l’exécution.

Il s’agit d’un ensemble de chargeurs capables de lancer le cheval de Troie Ninja en deuxième étape, d’un outil appelé LoFiSe pour trouver et collecter des fichiers intéressants, d’un téléchargeur DropBox pour sauvegarder des données volées sur Dropbox et de Pcexter pour exfiltrer des fichiers d’archive vers Microsoft OneDrive.

ToddyCat a également été observé en train d’utiliser des scripts personnalisés pour la collecte de données, une porte dérobée passive qui reçoit des commandes par paquets UDP, Cobalt Strike pour la post-exploitation, et des identifiants d’administrateur de domaine compromis pour faciliter les mouvements latéraux afin de poursuivre ses activités d’espionnage.

« Nous avons observé des variantes de script conçues uniquement pour collecter des données et copier des fichiers dans des dossiers spécifiques, mais sans les inclure dans des archives compressées », a déclaré Kaspersky. « Dans ces cas, l’acteur a exécuté le script sur l’hôte distant à l’aide de la technique standard d’exécution de tâches à distance. Les fichiers collectés étaient ensuite transférés manuellement vers l’hôte d’exfiltration à l’aide de l’utilitaire xcopy et finalement compressés à l’aide du binaire 7z. »

 

Cette révélation intervient alors que Check Point a révélé que des entités gouvernementales et de télécommunications en Asie ont été ciblées dans le cadre d’une campagne en cours depuis 2021, utilisant une grande variété de logiciels malveillants « jetables » pour échapper à la détection et fournir des logiciels malveillants de niveau suivant. Cette activité s’appuie sur une infrastructure qui recoupe celle utilisée par ToddyCat.

Partager:

Les dernières actualités :