กลุ่ม APT ที่เป็นที่รู้จักกันในชื่อ ToddyCat ถูกคาดว่ามีความเกี่ยวข้องกับชุดเครื่องมือใหม่ที่ถูกออกแบบมาเพื่อการขโมยข้อมูล ซึ่งทำให้นักวิจัยสามารถเข้าใจรูปแบบการทำงานของของกลุ่มแฮ็กเกอร์กลุ่มนี้ได้ดีขึ้น
การค้นพบครั้งนี้มาจาก Kaspersky ซึ่งเป็นผู้ที่เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์นี้เป็นครั้งแรกเมื่อปีที่แล้ว โดยเชื่อมโยงกลุ่มนี้กับการโจมตีต่อเป้าหมายที่มีชื่อเสียงในยุโรปและเอเชียมาเกือบสามปี
แม้ว่ากลุ่มนี้จะมีเครื่องมือหลักเป็น Ninja Trojan และ Samurai backdoor แต่จากการตรวจสอบเพิ่มเติมพบว่ากลุ่มนี้ได้พัฒนาชุดซอฟต์แวร์ที่เป็นอันตรายใหม่ทั้งหมด เพื่อให้สามารถแฝงตัวอยู่บนระบบเป้าหมาย, ดำเนินการกับไฟล์ และดาวน์โหลด payload เพิ่มเติมในขณะทำการโจมตีได้
ชุดเครื่องมือนี้ประกอบด้วย Loader ที่สามารถใช้ในการเรียกใช้งาน Ninja Trojan เป็นขั้นตอนที่สอง, เครื่องมือชื่อ LoFiSe ซึ่งใช้ในการค้นหา และรวบรวมไฟล์ที่น่าสนใจ, DropBox uploader ที่ใช้ในการบันทึกข้อมูลที่ขโมยมาลงใน Dropbox และ Pcexter ที่ใช้ในการขโมยไฟล์ archive ไปยัง Microsoft OneDrive
นักวิจัยยังพบว่ากลุ่มแฮ็กเกอร์ ToddyCat ใช้สคริปต์ที่พัฒนาขึ้นเองเพื่อรวบรวมข้อมูล, ใช้ Backdoor แบบ passive ที่รับคำสั่งด้วยแพ็กเก็ต UDP, Cobalt Strike ที่ใช้ในขั้นตอนหลังการขโมยเพื่อแสวงหาผลประโยชน์เพิ่มเติม และใช้สิทธิ์ผู้ดูแลระบบบนโดเมนที่ถูกโจมตีเพื่ออำนวยความสะดวกในการโจมตีต่อไปยังเครื่องอื่น ๆ เพื่อดำเนินการโจมตีต่อไป
Kaspersky ระบุว่า ยังพบว่ามีการใช้สคริปต์หลากหลายประเภทที่ออกแบบมาโดยเฉพาะเพื่อรวบรวมข้อมูล และคัดลอกไฟล์ไปยังโฟลเดอร์เฉพาะ แต่ไม่ได้รวมไฟล์เหล่านั้นไว้ในไฟล์ archive
กลุ่มแฮ็กเกอร์ได้รันสคริปต์บนโฮสต์จากภายนอก โดยกลุ่มแฮ็กเกอร์ได้โอนย้ายไฟล์ที่รวบรวมได้จากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่งโดยใช้ยูทิลิตี้ xcopy จากนั้นจึงบีบอัดไฟล์เหล่านั้นโดยใช้ไบนารี 7z
การเปิดเผยข้อมูลนี้เกิดขึ้นหลังจากที่ Check Point เปิดเผยว่าหน่วยงานรัฐบาล และโทรคมนาคมในเอเชียตกเป็นเป้าหมายของแคมเปญการโจมตีที่กำลังดำเนินอยู่ตั้งแต่ปี 2021 โดยใช้มัลแวร์ที่หลากหลายเพื่อหลีกเลี่ยงการตรวจจับ และติดตั้งมัลแวร์อื่น ๆ
โดย Kaspersky ระบุว่าพฤติกรรมดังกล่าวใช้โครงสร้างพื้นฐานเดียวกันกับที่ ToddyCat ใช้
ที่มา : thehackernews.com
You must be logged in to post a comment.