卡巴斯基揭示了Toddycat APT组织不断演变的战术

卡巴斯基的网络安全研究人员发现了ToddyCat 高级持续性威胁 (APT) 组织活动的重大发展，揭示了该组织不断演变的战术，发现其引入了一套新的加载器，旨在促进其恶意操作。此外，在调查过程中，还发现了ToddyCat 部署的一组新恶意软件：威胁行为者使用这些恶意软件来收集感兴趣的文件，并将其外泄到公共和合法的文件托管服务上。这些发现凸显了网络间谍活动日益增加的重要性，以及APT组织逃避侦查的适应性。

ToddyCat是一个复杂的APT组织，因其对欧洲和亚洲组织的高调攻击而于2020年12月首次引起关注，目前它仍然是一个可怕的威胁。最初，卡巴斯基的报告主要关注ToddyCat的主要工具Ninja木马和Samurai后门，以及用于启动这些恶意负载的加载器。从那时起，卡巴斯基的专家就创建了专门的特征来监控这个威胁行为者的恶意活动。其中一个签名是在一个系统上检测到的，研究人员开始了一项新的调查，最终发现了ToddyCat的新工具。

过去一年，卡巴斯基研究人员发现了由ToddyCat开发的新一代加载程序，突显了该组织为改进攻击技术所做的不懈努力。这些加载器在感染阶段发挥着关键作用，从而部署Ninja木马。有趣的是，ToddyCat偶尔会利用定制的专门针对特定目标系统的加载器变种来代替标准的加载器。这种定制加载器具有类似的功能，但以其独特的加密方案而区分，该方案考虑了特定于系统的属性，例如驱动器型号和卷 GUID（全局唯一标识符）。

为了在受感染的系统上保持长期持久性，ToddyCat采用了各种技术，包括创建注册表项和相应的服务。这可确保在系统启动期间加载恶意代码，这一策略让人想起了该组织的Samurai后门所使用的方法。

卡巴斯基的调查还发现了ToddyCat使用的其他工具和组件，包括 Ninja，这是一个多功能代理，具有进程管理、文件系统控制、反向shell会话、代码注入和网络流量转发等功能。他们还使用LoFiSe来查找特定文件，DropBox Uploader用于将数据上传到Dropbox，Pcexter用于将存档文件泄露到OneDrive，使用被动UDP后门来实现持久性，并使用CobaltStrike作为与特定URL通信的加载器，通常在Ninja部署之前。这些发现揭示了ToddyCat使用的工具包很广泛。

这些最新的发现证实了ToddyCat对实现网络间谍目的而不择手段，揭示了该组织如何渗透企业网络，进行横向移动并收集有价值的信息。ToddyCat 使用了一系列战术，包括发现活动、域名枚举和横向移动，所有这些都是为了实现他们的网络间谍目的。

“Toddycat不仅仅是侵入系统；他们还会建立长期行动，在很长一段时间内收集有价值的信息，同时适应新的条件，以保持不被发现。他们先进的战术和适应能力清楚地表明，他们的攻击不是打了就跑。企业和组织需要认识到威胁形势已经发生了变化；这不再仅仅是防御，而是持续的警惕性和适应性。为了保持安全，投资一流的安全解决方案并获得最新的威胁情报是至关重要的，”全球研究与分析团队（GReAT）首席安全研究员GiampaoloDedeola表示。

卡巴斯基亚太区董事总经理 Adrian Hia也表示：“Toddycat APT组织采用了多种复杂精密的手段来规避安全防御，这些手段使得该组织能够在长时间内保持隐蔽性，从而实施针对性的攻击。像ToddyCat这样高度专业化的APT组织未来在网络间谍活动中将表现更加活跃，这对于企业和组织的网络安全防御能力提出了更高的要求。”

有关ToddyCats活动的进一步见解，请访问Securelist.com

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

·      为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

·      使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

·      为了实现端点级别的检测和及时的调查和修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。

·      除了采取基础端点保护措施外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台

·      由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台