L’acteur des menaces persistantes avancées (APT) connu sous le nom de ToddyCat a été lié à un nouvel ensemble d’outils malveillants conçus pour l’exfiltration de données, offrant un aperçu plus approfondi des tactiques et des capacités de l’équipe de piratage.
Les conclusions proviennent de Kaspersky, qui a fait la lumière pour la première fois sur l’adversaire l’année dernière, en le liant à des attaques contre des entités de premier plan en Europe et en Asie pendant près de trois ans.
Alors que l’arsenal du groupe comprend en bonne place le cheval de Troie Ninja et une porte dérobée appelée Samurai, une enquête plus approfondie a révélé un tout nouvel ensemble de logiciels malveillants développés et maintenus par l’acteur pour assurer la persistance, effectuer des opérations sur les fichiers et charger des charges utiles supplémentaires au moment de l’exécution.
Cela comprend un ensemble de chargeurs dotés de fonctionnalités permettant de lancer le cheval de Troie Ninja dans un deuxième temps, un outil appelé LoFiSe pour rechercher et collecter les fichiers d’intérêt, un téléchargeur DropBox pour enregistrer les données volées sur Dropbox et Pcexter pour exfiltrer les fichiers d’archive vers Microsoft OneDrive.
ToddyCat a également été observé en train d’utiliser des scripts personnalisés pour la collecte de données, une porte dérobée passive qui reçoit des commandes avec des paquets UDP, Cobalt Strike pour la post-exploitation et des informations d’identification d’administrateur de domaine compromises pour faciliter les mouvements latéraux afin de poursuivre ses activités d’espionnage.
“Nous avons observé des variantes de script conçues uniquement pour collecter des données et copier des fichiers dans des dossiers spécifiques, mais sans les inclure dans des archives compressées”, a expliqué Kaspersky.
“Dans ces cas, l’acteur a exécuté le script sur l’hôte distant en utilisant la technique standard d’exécution de tâches à distance. Les fichiers collectés ont ensuite été transférés manuellement vers l’hôte d’exfiltration à l’aide de l’utilitaire xcopy et finalement compressés à l’aide du binaire 7z.”
Cette divulgation intervient alors que Check Point a révélé que des entités gouvernementales et de télécommunications en Asie ont été ciblées dans le cadre d’une campagne en cours depuis 2021 utilisant une grande variété de logiciels malveillants « jetables » pour échapper à la détection et diffuser des logiciels malveillants de niveau supérieur.
L’activité, selon la société de cybersécurité, repose sur une infrastructure qui chevauche celle utilisée par ToddyCat.
