ToddyCat кибертобы кибер тыңшылық науқандарын қиындатады

«Касперский зертханасының» сарапшылары ToddyCat кибертобы Қазақстанда шабуылдарды жүргізу және анықтаушы технологияларымен анықтаудан жалтару әдістерін жетілдіріп жатқанын анықтады. Зиянды бағдарламалар жиынтығының көмегімен шабуылдаушылар өздерін қызықтыратын файлдарды жинап, оларды жалпыға қол жетімді және заңды хостинг қызметтеріне жүктейді. 

2022 жылдың жазында «Касперский зертханасының» сарапшылары кибертоптың негізгі құралдары туралы хабарлаған, оларға Ninja троян және Samurai бэкдоры, сондай-ақ оларды іске қосу үшін жүктеушілер жатады. Алайда, өткен жылы зерттеушілер ToddyCat әзірлеген жүктеушілердің жаңа буынын тапты.

Табылған зиянкестер Ninja троянын орналастыруды қамтамасыз ететін инфекция кезеңінде шешуші рөл атқарады. Кейбір жағдайларда ToddyCat стандартты жүктеушілерді белгілі бір жүйелерге арналған арнайы нұсқамен ауыстырады. Ол диск моделі және GUID том жолы сияқты жүйеге тән ерекше атрибуттарды ескеретін бірегей шифрлау сызбасымен ерекшеленеді.

Бұзылған жүйелерде ұзақ уақыт болуын қамтамасыз ету үшін ToddyCat түрлі әдістерді, соның ішінде тізілім кілті мен тиісті қызметті құруды қолданады. Бұл жүйені іске қосқан кезде зиянды кодты жүктеуге мүмкіндік береді, ол топтың Samurai бэкдорда қолданған әдістеріне ұқсайды.

Тергеу барысында «Касперский зертханасының»  сарапшылары ToddyCat қолданатын қосымша құралдар мен құрамдауыштарды тапты, соның ішінде Ninja — процесті басқару, файлдық жүйе, кері байланысты іске қосу (reverse shell), кодты енгізу және желілік трафикті қайта бағыттау функциялары бар әмбебап агент. Сондай — ақ, LoFiSe — белгілі бір файлдарды іздеу үшін, DropBox Uploader — Dropbox — қа деректерді жүктеу үшін, Pcexter — OneDrive-қа мұрағаттық файлдарды жүктеу үшін, Passive UDP Backdoor-жүйеде ұзақ уақыт болуын қамтамасыз ету үшін, сондай-ақ CobaltStrike-бастапқы жүктеуші ретінде қолданылады, содан кейін Ninja ашылуы жиі орын алады.

Алынған деректер зиянкестердің корпоративтік желілерге қандай табандылықпен және қандай әдістермен енетінін, олар арқылы қозғалатынын және ToddyCat тобының негізгі мақсатына — кибер тыңшылыққа жету үшін маңызды ақпаратты жинайтынын көрсетеді.

«ToddyCat жүйелерді бұзып қана қоймайды, сонымен қатар ұзақ уақыт бойы құнды деректерді жинау бойынша ойластырылған дәйекті әрекеттерді орындайды, назардан тыс қалу үшін жаңа жағдайларға бейімделеді. Олардың озық тактикасы мен өзгерістерге үнемі бейімделуі бұл жай ғана кенеттен және қысқа мерзімді шабуылдар емес, ұзақ науқан екенін көрсетеді. Қауіп-қатер ландшафты өзгеруде және белгілі кибершабуылдарға белсенді түрде қарсы тұру ғана емес, сонымен қатар жаңа қауіптерден хабардар болу керек. Қауіпсіздікті сақтау үшін жоғары технологиялық қорғаныс шешімдеріне инвестиция салу және АҚ саласындағы талдаушылардың ең өзекті деректеріне қол жеткізу қажет», — деп «Касперский зертханасы» ресейлік зерттеу орталығының жетекшісі Игорь Кузнецов түсіндірді.

Күрделі кибершабуылдардан қорғану үшін «Касперский зертханасы» компанияларға кеңес береді:

- SOC-орталығының мамандарына қауіптер туралы ең соңғы деректерге, мысалы, «Касперский Зертханасының» 20 жылдан астам жұмысында жинақталған кибершабуылдар туралы деректер жинақталған Kaspersky Threat Intelligence Portal порталына қол жеткізуге мүмкіндік беру. Негізгі қызметтерге еркін қол жеткізу https://opentip.kaspersky.com/ сілтеме арқылы ашық;

- соңғы құрылғылардағы қауіптерді анықтау, талдау және оқиғалардан кейін уақтылы қалпына келтіру үшін EDR-шешімдерін, мысалы Kaspersky Endpoint Detection and Response енгізу қажет;

 - негізгі қорғаныс өнімдеріне қосымша, желілік деңгейдегі ақауларды Kaspersky Anti Targeted Attack Platform сияқты ерте сатыда анықтауға қабілетті  корпоративтік деңгейдегі шешімді қолдану; 

- қызметкерлерге кибергигиенаның негізгі ережелерін оқыту, өйткені шабуылдар көбінесе фишингтен немесе басқа әлеуметтік инженерия техникасынан басталады.