ToddyCat – neue Angriffstaktiken

8. November 2023
| Keine Kommentare
Kaspersky_news

Beitrag teilen

Mit einer neuen Art von Malware sammelt ToddyCat Daten und exfiltriert sie in öffentliche und legitime File-Hosting-Dienste.

Die fortschrittliche APT-Gruppe ToddyCat machte erstmals im Dezember 2020 mit schwerwiegenden Angriffen auf Unternehmen in Asien und Europa auf sich aufmerksam. Zu den Hauptwerkzeugen zählte der Ninja-Trojaner, die Backdoor Samurai und Loader, die schädliche Payloads auf das betroffene System laden. Seitdem überwacht Kaspersky mittels spezieller Signaturen die APT-Gruppe. Eine der Signaturen wurde auf einem System identifiziert; im Zuge weiterer Untersuchungen wurden neue Werkzeuge von ToddyCat entdeckt.

Anzeige

ToddyCat verwendet neue Loader-Variante

Im vergangenen Jahr haben Kaspersky-Experten eine neue Generation von Loadern entdeckt, die von ToddyCat entwickelt wurden. Die Gruppe versucht beharrlich, ihre Angriffstechniken zu verfeinern. Die Loader spielen eine entscheidende Rolle während der Infektion des betroffenen Systems, indem sie den Einsatz des Ninja-Trojaners ermöglichen. Entgegen gewöhnlicher Vorgehensweisen ersetzt ToddyCat den Standard-Loader gelegentlich mit einer speziell auf die anvisierten Systeme zugeschnittenen Variante. Dieser maßgeschneiderte Loader verfügt über eine ähnliche Funktionsweise, unterscheidet sich jedoch durch sein einzigartiges Verschlüsselungsschema, das systemspezifische Eigenschaften wie das Laufwerkmodell und die GUID (Global Unique Identifier) berücksichtigt.

Um sich langfristig auf betroffenen Systemen einzunisten, setzt ToddyCat unter anderem auf die Erstellung eines Registry-Schlüssels und eines passenden Dienstes. Dadurch wird der schädliche Code beim Systemstart geladen.

Große Bandbreite angewandter Techniken

Weiterhin wurden im Zuge der Untersuchung weitere Werkzeuge und Komponenten der ToddyCat-Gruppe aufgedeckt:

  • Ninja, ein vielseitiger Agent, der über Funktionen wie Prozessmanagement, Dateisystemkontrolle, Reverse-Shell-Sitzungen, Code-Injektion und Weiterleitung des Netzwerkverkehrs verfügt.
  • LoFiSe, um bestimmte Dateien zu finden
  • DropBox Uploader, um Dateien auf Dropbox hochzuladen
  • Pcexter, um Archivdateien auf OneDrive einzuschleusen
  • Eine passive UDP-Backdoor für Persistenz
  • Der Loader CobaltStrike kommuniziert mit einer bestimmten URL, häufig vor Einsatz des Ninja-Trojaners.

ToddyCats Ziel ist Cyberspionage – Dazu wendet die Gruppe eine ganze Reihe von Taktiken an, angefangen bei Entdeckungsaktivitäten, über Domain-Aufzählungen bis hin zu Lateral Movements.

ToddyCat passt sich an

„ToddyCat bricht nicht einfach nur in Systeme ein; die Gruppe etabliert langfristige Operationen, um wertvolle Informationen über einen längeren Zeitraum anzusammeln“, erklärt Giampaolo Dedola, Lead Security Researcher im globalen Forschungs- und Analyseteam (GReAT) bei Kaspersky. „Zeitgleich passt sich die Gruppe an veränderte Bedingungen an, um unentdeckt zu bleiben. Ihre fortgeschrittenen Taktiken und ihre Anpassungsfähigkeit zeigen klar, dass es sich nicht bloß um einen Überfall handelt. Unternehmen müssen erkennen, dass sich die Bedrohungslandschaft weiterentwickelt hat und es nicht mehr nur rein um Verteidigung geht, sondern um anhaltende Wachsamkeit und Flexibilität. Um sich zu schützen, müssen sie in erstklassige Sicherheitslösungen investieren und Zugriff auf die neuesten Erkenntnisse der Bedrohungsanalyse haben.“

Mehr bei Kaspersky.de

 

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/

Passende Artikel zum Thema

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

 

Short-News
, , , , ,