Frikipandi – Web de Tecnología – Lo más Friki de la red. Web de Tecnología con las noticias más frikis de Internet. Noticias de gadgets, Hardware, Software, móviles e Internet. Frikipandi 
Kaspersky revela las nuevas tácticas del peligroso grupo APT ToddyCat
Los expertos en ciberseguridad de Kaspersky descubren avances significativos en la actividad del grupo de amenazas persistentes avanzadas (APT) ToddyCat, que ahora usa un nuevo conjunto de loaders para aumentar los daños. Además, descubrieron la implementación de malware orientado a recopilar archivos y filtrarlos en servicios legítimos.
El sofisticado grupo APT ToddyCat, descubierto en diciembre de 2020 tras ejecutar ciberataques de alto nivel a organizaciones de Europa y Asia, sigue siendo una de las amenazas más peligrosas. Las investigaciones de Kaspersky se han centrado en las herramientas que utiliza: Ninja Trojan y Samurai Backdoor, así como en los loaders de los que se sirve. La exhaustiva monitorización del grupo ha permitido descubrir nuevas herramientas de ataque.
ToddyCat es un actor APT relativamente nuevo que no hemos podido relacionar con otros actores conocidos, responsable de múltiples conjuntos de ataques detectados desde diciembre de 2020 contra entidades de alto perfil en Europa y Asia. Aún tenemos poca información sobre este actor, pero sabemos que sus principales señas distintivas son dos herramientas hasta ahora desconocidas a las que llamamos ‘Samurai backdoor’ y ‘Ninja Trojan’.
El grupo inició sus actividades en diciembre de 2020, comprometiendo servidores Exchange seleccionados en Taiwán y Vietnam utilizando un exploit desconocido que llevó a la creación de un conocido shell web China Chopper, que a su vez se utilizó para iniciar una cadena de infección de varias etapas. En esa cadena observamos una serie de componentes que incluyen cargadores personalizados utilizados para preparar la ejecución final del Samurai de puerta trasera pasiva.
Durante el primer período, entre diciembre de 2020 y febrero de 2021, el grupo apuntó a un número muy limitado de servidores en Taiwán y Vietnam, relacionados con tres organizaciones.
Desde el 26 de febrero hasta principios de marzo, observamos una rápida escalada y el atacante abusó de la vulnerabilidad ProxyLogon para comprometer múltiples organizaciones en Europa y Asia.
El año pasado, los expertos de Kaspersky ya descubrieron una nueva generación de loaders desarrollados por ToddyCat, lo que demuestra los incansables esfuerzos del grupo por perfeccionar sus técnicas. Se trata de loaders que tienen un importante papel en la fase de infección y que permiten inocular el troyano Ninja. En ocasiones, ToddyCat desarrolla variantes específicas de cargadores para sistemas concretos. Estos se diferencian del resto porque cuentan con un cifrado único y tienen en cuenta aspectos específicos del sistema, como el tipo de unidad y el GUID (Globally Unique Identifier, el Identificador Único Global).
Para incrementar el nivel de persistencia en los sistemas comprometidos, ToddyCat usa distintas técnicas, como la creación de una clave de registro con su correspondiente servicio, lo que garantiza que el código malicioso se cargue durante el arranque del sistema, táctica que recuerda a los métodos utilizados por el backdoor Samurai.
La investigación revela también herramientas y componentes adicionales utilizados por ToddyCat, como el ya citado troyano Ninja. Se trata de un agente versátil, con funciones como gestión de procesos, control del sistema de archivos, inyección de código y reenvío de tráfico de red. También utiliza LoFiSe para la búsqueda de archivos concretos, DropBox Uploader para la carga de información en Dropbox, Pcexter para filtrar ficheros a OneDrive y CobaltStrike como loader que se comunica con una URL específica, a menudo antes de la implementación de Ninja.
«ToddyCat irrumpe en los sistemas y se establece durante mucho tiempo para recopilar información sensible, siendo capaz de adaptarse a las nuevas condiciones para pasar desapercibido. Las organizaciones deben ser conscientes de que el panorama de amenazas ha evolucionado. No se trata solo de defenderse, sino de vigilar y adaptarse continuamente a las nuevas condiciones. Para ello es crucial invertir en soluciones de seguridad de primer nivel y tener acceso a los últimos descubrimientos e información de inteligencia de amenazas», asegura Giampaolo Dedola, analista principal de seguridad de GReAT.
Para evitar ser víctima de estas y otras amenazas, tanto conocidas como desconocidas, los expertos de Kaspersky recomiendan implementar las siguientes medidas:
- Proveer al equipo encargado del SOC de la última información de inteligencia de amenazas. Kaspersky Threat Intelligence es un punto de acceso para el departamento TI con información de ciberataques y otros datos recogidos por Kaspersky durante los últimos 20 años.
- Aumentar las capacidades del equipo de ciberseguridad para que pueda afrontar las últimas amenazas con garantías a través de Kaspersky online training, desarrollado por los expertos de GReAT.
- Para la detección, investigación y resolución temprana de incidentes que afecten a los endpoints es aconsejable implementar soluciones EDR como Kaspersky Endpoint Detection and Response
- Contemplar el uso de una solución corporativa para detectar ataques contra la red en fase temprana, como Kaspersky Anti Targeted Attack Platform.
- Muchos ataques comienzan con phishing y otras técnicas de ingeniería social. Es importante capacitar a los miembros del equipo para que sepan cuándo está ante estas amenazas, algo posible con herramientas como Kaspersky Automated Security Awareness Platform.
Kaspersky analiza y profundiza estos días en el futuro de la ciberseguridad en su Security Analyst Summit (SAS) 2023, que se celebra entre el 25 al 28 de octubre en Phuket, Tailandia. En el evento se reúnen investigadores antimalware de primer nivel, así como fuerzas y cuerpos de seguridad de todo el mundo, además de equipos de respuesta a emergencias cibernéticas y reconocidos líderes de sectores como finanzas, tecnología, atención médica, academia, administraciones públicas y gobiernos.
Para conocer más a fondo las actividades de ToddyCat, consultar Securelist.
. Leer artículo completo en Frikipandi Kaspersky revela las nuevas tácticas del peligroso grupo APT ToddyCat.
