گروه هکری ToddyCat برای نفوذ به سیستمهای قربانیان و سرقت اطلاعات باارزش از ابزارهای مختلفی استفاده میکند.
بر اساس گزارش شرکت امنیتی روسی کسپرسکی، این گروه با هدف سرقت کلان دادهها از سازمانهای دولتی و به ویژه مراکز دفاعی در آسیا و اقیانوسیه، از ابزارهای متعددی استفاده میکند.
محققان امنیتی کسپرسکی، آندری گونکین، الکساندر فدوتوف و ناتالیا شورنیکوا میگویند: «برای جمعآوری حجم عظیمی از اطلاعات از سرورهای مختلف، مهاجمین باید فرآیند جمعآوری دادهها را تا حد امکان خودکار کنند و چندین روش جایگزین برای دسترسی و نظارت مداوم بر سیستمهایی که مورد حمله قرار میدهند، فراهم کنند.»
شرکت کسپرسکی اولین بار در ژوئن ۲۰۲۲ و در ارتباط با حملات سایبری علیه سازمانهای دولتی و نظامی در اروپا و آسیا از دسامبر ۲۰۲۰ به بعد، این گروه را شناسایی کرد. در این حملات از یک بکدور مخفی به نام سامورایی برای دسترسی از راه دور به سیستمهای آلوده استفاده شده است.
بررسیهای بیشتر نشان داده است که ToddyCat از ابزارهای دیگری مانند LoFiSe و Pcexter برای جمعآوری اطلاعات و آپلود فایلهای آرشیو شده به سرویس واندرایو مایکروسافت نیز استفاده میکند.
خلاصه ی ابزارهای هک گروه ToddyCat
گروه هکری ToddyCat پس از نفوذ به سیستم قربانی و دستیابی به حسابهای کاربری دارای امتیاز بالا، از مجموعهای از ابزارها برای حفظ دسترسی و سرقت اطلاعات باارزش استفاده میکند. این ابزارها به شرح زیر هستند:
تونلزنی
ایجاد کانالهای مخفی برای انتقال دادهها با استفاده از روشهای مختلف:
- تونل SSH معکوس: سوء استفاده از ابزار قانونی OpenSSH برای برقراری ارتباط مخفی.
- VPN SoftEther: این نرمافزار VPN با نامهای رایج مانند boot.exe، mstime.exe، netscan.exe و kaspersky.exe پنهان میشود.
- Ngrok & Krong: رمزگذاری و هدایت ارتباطات به یک پورت خاص در سیستم آلوده برای فرماندهی و کنترل.
- کلاینت FRP: ابزاری با سرعت بالا برای ایجاد اتصال پروکسی معکوس.
استخراج داده
پس از ایجاد تونل، میتوانند دادههای خاص را سرقت کنند:
- Cuthead: این ابزار به دنبال اسناد بر اساس پسوندها، نام فایلها یا تاریخچه تغییر آنها میگردد.
- WAExp: برنامه WhatsApp web را هدف قرار میدهد و دادههای آن را ضبط و بایگانی میکند.
- TomBerBil: بر روی مرورگرهای وب مانند Chrome و Edge تمرکز دارد و کوکیها و اطلاعات ورود به سیستم را استخراج میکند.
قابلیت اطمینان: ToddyCat به طور همزمان از چندین ابزار برای اطمینان از جریان مداوم داده استفاده میکند. به این ترتیب، اگر یک تونل مسدود شود، دیگران میتوانند اتصال را حفظ کنند.
نکات قابل توجه:
- ToddyCat از مجموعهای متنوع از ابزارها برای حفظ دسترسی و سرقت دادهها استفاده میکند.
- آنها از روشهای مختلفی برای پنهان کردن ترافیک خود و دور زدن اقدامات امنیتی استفاده میکنند.
- ToddyCat از ابزارهای خود به طور همزمان برای اطمینان از جریان مداوم داده استفاده میکند.
- ToddyCat به طور فعال توسط شرکتهای امنیتی مانند کسپرسکی ردیابی و رصد میشود.
- سازمانها باید اقدامات امنیتی خود را برای محافظت در برابر این گروه و سایر تهدیدات سایبری مشابه بهروزرسانی کنند.
- استفاده از راه حلهای امنیتی قوی، به روز رسانی مداوم نرم افزار و آموزش آگاهی امنیتی به کارکنان می تواند به کاهش خطر ابتلا به این نوع حملات کمک کند.