Ingolstadt, 12. Oktober 2023 – Kaspersky-Experten haben neue Aktivitäten der ToddyCat Advanced-Persistent-Threats (APT-) Gruppe ToddyCat entdeckt [1]. Die Untersuchungen zeigen, dass der Bedrohungsakteur eine neue Art von Malware nutzt, mit der er Daten sammelt, um sie in öffentliche und legitime File-Hosting-Dienste zu exfiltrieren.
Die fortschrittliche APT-Gruppe ToddyCat machte erstmals im Dezember 2020 mit schwerwiegenden Angriffen auf Unternehmen in Asien und Europa auf sich aufmerksam. Zu den Hauptwerkzeugen zählte der Ninja-Trojaner, die Backdoor Samurai und Loader, die schädliche Payloads auf das betroffene System laden [2]. Seitdem überwacht Kaspersky mittels spezieller Signaturen die APT-Gruppe. Eine der Signaturen wurde auf einem System identifiziert; im Zuge weiterer Untersuchungen wurden neue Werkzeuge von ToddyCat entdeckt.
ToddyCat verwendet neue Loader-Variante
Im vergangenen Jahr haben Kaspersky-Experten eine neue Generation von Loadern entdeckt, die von ToddyCat entwickelt wurden. Die Gruppe versucht beharrlich, ihre Angriffstechniken zu verfeinern. Die Loader spielen eine entscheidende Rolle während der Infektion des betroffenen Systems, indem sie den Einsatz des Ninja-Trojaners ermöglichen. Entgegen gewöhnlicher Vorgehensweisen ersetzt ToddyCat den Standard-Loader gelegentlich mit einer speziell auf die anvisierten Systeme zugeschnittenen Variante. Dieser maßgeschneiderte Loader verfügt über eine ähnliche Funktionsweise, unterscheidet sich jedoch durch sein einzigartiges Verschlüsselungsschema, das systemspezifische Eigenschaften wie das Laufwerkmodell und die GUID (Global Unique Identifier) berücksichtigt.
Um sich langfristig auf betroffenen Systemen einzunisten, setzt ToddyCat unter anderem auf die Erstellung eines Registry-Schlüssels und eines passenden Dienstes. Dadurch wird der schädliche Code beim Systemstart geladen.
Große Bandbreite angewandter Techniken
- Ninja, ein vielseitiger Agent, der über Funktionen wie Prozessmanagement, Dateisystemkontrolle, Reverse-Shell-Sitzungen, Code-Injektion und Weiterleitung des Netzwerkverkehrs verfügt.
- LoFiSe, um bestimmte Dateien zu finden
- DropBox Uploader, um Dateien auf Dropbox hochzuladen
- Pcexter, um Archivdateien auf OneDrive einzuschleusen
- Eine passive UDP-Backdoor für Persistenz
- Der Loader CobaltStrike kommuniziert mit einer bestimmten URL, häufig vor Einsatz des Ninja-Trojaners.
Kaspersky-Empfehlungen zum Schutz vor bekannten oder unbekannten Bedrohungen
- Das SOC-Team sollte Zugang zu den neuesten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [3] bietet Cyberangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.
- Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [4] entwickelt werden, durchgeführt werden.
- EDR-Lösungen wie Kaspersky Endpoint Detection and Response [5] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.
- Einen Schutz wie Kaspersky Anti Targeted Attack Plattform [6] einsetzen, der fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt.
- Da viele zielgerichtete Angriffe durch Phishing oder andere Social-Engineering-Techniken beginnen, sollten Unternehmen Schulungen zum Sicherheitsbewusstsein, beispielsweise über die Kaspersky Automated Security Awareness Platform [7], anbieten, um Teams praktische Fähigkeiten zu vermitteln.
Über Kaspersky
Pressekontakt
Bettina Ktona
M: [email protected]
Landwehrstraße 61
80336 München
Kaspersky Labs GmbH
Sarah Grill
M: [email protected]
Despag-Straße 3
85055 Ingolstadt