ابزارهای پیشرفته هکر های ToddyCat!

ToddyCat Hacker

گروه هکری ToddyCat برای نفوذ به سیستم‌های قربانیان و سرقت اطلاعات باارزش از ابزارهای مختلفی استفاده می‌کند.

بر اساس گزارش شرکت امنیتی روسی کسپرسکی، این گروه با هدف سرقت کلان داده‌ها از سازمان‌های دولتی و به ویژه مراکز دفاعی در آسیا و اقیانوسیه، از ابزارهای متعددی استفاده می‌کند.

محققان امنیتی کسپرسکی، آندری گونکین، الکساندر فدوتوف و ناتالیا شورنیکوا می‌گویند: «برای جمع‌آوری حجم عظیمی از اطلاعات از سرورهای مختلف، مهاجمین باید فرآیند جمع‌آوری داده‌ها را تا حد امکان خودکار کنند و چندین روش جایگزین برای دسترسی و نظارت مداوم بر سیستم‌هایی که مورد حمله قرار می‌دهند، فراهم کنند.»

شرکت کسپرسکی اولین بار در ژوئن ۲۰۲۲ و در ارتباط با حملات سایبری علیه سازمان‌های دولتی و نظامی در اروپا و آسیا از دسامبر ۲۰۲۰ به بعد، این گروه را شناسایی کرد. در این حملات از یک بکدور مخفی به نام سامورایی برای دسترسی از راه دور به سیستم‌های آلوده استفاده شده است.

بررسی‌های بیشتر نشان داده است که ToddyCat از ابزارهای دیگری مانند LoFiSe و Pcexter برای جمع‌آوری اطلاعات و آپلود فایل‌های آرشیو شده به سرویس وان‌درایو مایکروسافت نیز استفاده می‌کند.

خلاصه ی ابزارهای هک گروه ToddyCat

گروه هکری ToddyCat پس از نفوذ به سیستم قربانی و دستیابی به حساب‌های کاربری دارای امتیاز بالا، از مجموعه‌ای از ابزارها برای حفظ دسترسی و سرقت اطلاعات باارزش استفاده می‌کند. این ابزارها به شرح زیر هستند:

تونل‌زنی

 ایجاد کانال‌های مخفی برای انتقال داده‌ها با استفاده از روش‌های مختلف:

  • تونل SSH معکوس: سوء استفاده از ابزار قانونی OpenSSH برای برقراری ارتباط مخفی.
  • VPN SoftEther: این نرم‌افزار VPN با نام‌های رایج مانند boot.exe، mstime.exe، netscan.exe و kaspersky.exe پنهان می‌شود.
  • Ngrok & Krong: رمزگذاری و هدایت ارتباطات به یک پورت خاص در سیستم آلوده برای فرماندهی و کنترل.
  • کلاینت FRP: ابزاری با سرعت بالا برای ایجاد اتصال پروکسی معکوس.

استخراج داده

 پس از ایجاد تونل، می‌توانند داده‌های خاص را سرقت کنند:

  • Cuthead: این ابزار به دنبال اسناد بر اساس پسوندها، نام فایل‌ها یا تاریخچه تغییر آنها می‌گردد.
  • WAExp: برنامه WhatsApp web را هدف قرار می‌دهد و داده‌های آن را ضبط و بایگانی می‌کند.
  • TomBerBil: بر روی مرورگرهای وب مانند Chrome و Edge تمرکز دارد و کوکی‌ها و اطلاعات ورود به سیستم را استخراج می‌کند.

قابلیت اطمینان: ToddyCat به طور همزمان از چندین ابزار برای اطمینان از جریان مداوم داده استفاده می‌کند. به این ترتیب، اگر یک تونل مسدود شود، دیگران می‌توانند اتصال را حفظ کنند.

نکات قابل توجه:

  • ToddyCat از مجموعه‌ای متنوع از ابزارها برای حفظ دسترسی و سرقت داده‌ها استفاده می‌کند.
  • آنها از روش‌های مختلفی برای پنهان کردن ترافیک خود و دور زدن اقدامات امنیتی استفاده می‌کنند.
  • ToddyCat از ابزارهای خود به طور همزمان برای اطمینان از جریان مداوم داده استفاده می‌کند.
  • ToddyCat به طور فعال توسط شرکت‌های امنیتی مانند کسپرسکی ردیابی و رصد می‌شود.
  • سازمان‌ها باید اقدامات امنیتی خود را برای محافظت در برابر این گروه و سایر تهدیدات سایبری مشابه به‌روزرسانی کنند.
  • استفاده از راه حل‌های امنیتی قوی، به روز رسانی مداوم نرم افزار و آموزش آگاهی امنیتی به کارکنان می تواند به کاهش خطر ابتلا به این نوع حملات کمک کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *