El peligroso grupo ToddyCat refina sus tácticas de amenaza persistente avanzada
- Actualidad
El grupo, conocido desde 2020 por sus ataques APT de alto nivel, utiliza ahora un nuevo conjunto de loaders para que sus intrusiones resulten más dañinas, según las investigaciones que ha realizado Kaspersky.
A finales de 2020 se identificó a ToddyCat, considerado como una de las amenazas más peligrosas después de realizar ataques APT de alto nivel a organizaciones de Europa y Asia. Desde entonces, el grupo no ha dejado de reinventarse, como ha indicado Kaspersky, que hace un seguimiento exhaustivo de sus actividades y ya en el pasado detectó nuevas generaciones de loaders creados por ellos.
Esta semana la compañía ha informado de los siguientes pasos en la actividad del grupo, descubriendo no solo una nueva serie de loaders más dañinos, sino la implementación de malware destinado a recopilar archivos y filtrarlos en servicios legítimos. La compañía se ha centrado en las herramientas que utilizan, como Ninja Trojan y Samurai Backdoor.
A veces, ToddyCat desarrolla variantes específicas de cargadores para sistemas concretos, que se diferencian del resto porque cuentan con un cifrado único y tienen en cuenta aspectos específicos del sistema, como el tipo de unidad y el GUID (Globally Unique Identifier, el Identificador Único Global). Según la investigación de Kaspersky, utilizan distintas técnicas, como la creación de una clave de registro con su correspondiente servicio, lo que garantiza que el código malicioso se cargue durante el arranque del sistema.
En cuanto al troyano Ninja, tiene funciones como gestión de procesos, control del sistema de archivos, inyección de código y reenvío de tráfico de red. La compañía indica que “utiliza LoFiSe para la búsqueda de archivos concretos, DropBox Uploader para la carga de información en Dropbox, Pcexter para filtrar ficheros a OneDrive y CobaltStrike como loader que se comunica con una URL específica”.
Giampaolo Dedola, analista principal de seguridad de GReAT, el equipo global de investigación y análisis de Kaspersky, señala que “ToddyCat irrumpe en los sistemas y se establece durante mucho tiempo para recopilar información sensible, siendo capaz de adaptarse a las nuevas condiciones para pasar desapercibido. Las organizaciones deben ser conscientes de que el panorama de amenazas ha evolucionado. No se trata solo de defenderse, sino de vigilar y adaptarse continuamente a las nuevas condiciones”.
