Kaspersky-Experten haben neue Aktivitäten der ToddyCat Advanced-Persistent-Threats (APT-) Gruppe ToddyCat entdeckt [1]. Die Untersuchungen zeigen, dass der Bedrohungsakteur eine neue Art von Malware nutzt, mit der er Daten sammelt, um sie in öffentliche und legitime File-Hosting-Dienste zu exfiltrieren.
Die fortschrittliche APT-Gruppe ToddyCat machte erstmals im Dezember 2020 mit schwerwiegenden Angriffen auf Unternehmen in Asien und Europa auf sich aufmerksam. Zu den Hauptwerkzeugen zählte der Ninja-Trojaner, die Backdoor Samurai und Loader, die schädliche Payloads auf das betroffene System laden [2]. Seitdem überwacht Kaspersky mittels spezieller Signaturen die APT-Gruppe. Eine der Signaturen wurde auf einem System identifiziert; im Zuge weiterer Untersuchungen wurden neue Werkzeuge von ToddyCat entdeckt.
Im vergangenen Jahr haben Kaspersky-Experten eine neue Generation von Loadern entdeckt, die von ToddyCat entwickelt wurden. Die Gruppe versucht beharrlich, ihre Angriffstechniken zu verfeinern. Die Loader spielen eine entscheidende Rolle während der Infektion des betroffenen Systems, indem sie den Einsatz des Ninja-Trojaners ermöglichen. Entgegen gewöhnlicher Vorgehensweisen ersetzt ToddyCat den Standard-Loader gelegentlich mit einer speziell auf die anvisierten Systeme zugeschnittenen Variante. Dieser maßgeschneiderte Loader verfügt über eine ähnliche Funktionsweise, unterscheidet sich jedoch durch sein einzigartiges Verschlüsselungsschema, das systemspezifische Eigenschaften wie das Laufwerkmodell und die GUID (Global Unique Identifier) berücksichtigt.
Um sich langfristig auf betroffenen Systemen einzunisten, setzt ToddyCat unter anderem auf die Erstellung eines Registry-Schlüssels und eines passenden Dienstes. Dadurch wird der schädliche Code beim Systemstart geladen.
Weiterhin wurden im Zuge der Untersuchung weitere Werkzeuge und Komponenten der ToddyCat-Gruppe aufgedeckt:
ToddyCats Ziel ist Cyberspionage – Dazu wendet die Gruppe eine ganze Reihe von Taktiken an, angefangen bei Entdeckungsaktivitäten, über Domain-Aufzählungen bis hin zu Lateral Movements.
„ToddyCat bricht nicht einfach nur in Systeme ein; die Gruppe etabliert langfristige Operationen, um wertvolle Informationen über einen längeren Zeitraum anzusammeln“, erklärt Giampaolo Dedola, Lead Security Researcher im globalen Forschungs- und Analyseteam (GReAT) bei Kaspersky. „Zeitgleich passt sich die Gruppe an veränderte Bedingungen an, um unentdeckt zu bleiben. Ihre fortgeschrittenen Taktiken und ihre Anpassungsfähigkeit zeigen klar, dass es sich nicht bloß um einen Überfall handelt. Unternehmen müssen erkennen, dass sich die Bedrohungslandschaft weiterentwickelt hat und es nicht mehr nur rein um Verteidigung geht, sondern um anhaltende Wachsamkeit und Flexibilität. Um sich zu schützen, müssen sie in erstklassige Sicherheitslösungen investieren und Zugriff auf die neuesten Erkenntnisse der Bedrohungsanalyse haben.“
Weitere Informationen zu den Aktivitäten der ToddyCat-Gruppe unter https://securelist.com/toddycat-keep-calm-and-check-logs/110696/
[1] https://securelist.com/toddycat-keep-calm-and-check-logs/110696/
[2] https://securelist.com/toddycat/106799/
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://xtraining.kaspersky.com/
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[7] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[8] Security Analyst Summit (SAS) 2023: https://thesascon.com/