ToddyCat кибертобы кибер тыңшылықнауқандарын қиындатады

«Касперский зертханасының» сарапшылары ToddyCat кибертобы Қазақстанда шабуылдарды жүргізу жәнеанықтаушы технологияларымен анықтаудан жалтаруәдістерін жетілдіріп жатқанын анықтады. Зиянды бағдарламалар жиынтығының көмегімен шабуылдаушылар өздерін қызықтыратын файлдарды жинап, оларды жалпыға қол жетімді және заңды хостинг қызметтеріне жүктейді.

2022 жылдың жазында «Касперский зертханасының»сарапшылары кибертоптың негізгі құралдары туралыхабарлаған, оларға Ninja троян және Samurai бэкдоры, сондай-ақоларды іске қосу үшін жүктеушілер жатады. Алайда, өткенжылы зерттеушілер ToddyCat әзірлеген жүктеушілердің жаңабуынын тапты.

Табылған зиянкестер Ninja троянын орналастыруды қамтамасызететін инфекция кезеңінде шешуші рөл атқарады. Кейбіржағдайларда ToddyCat стандартты жүктеушілерді белгілі біржүйелерге арналған арнайы нұсқамен ауыстырады. Ол диск моделі және GUID том жолы сияқты жүйеге тән ерекшеатрибуттарды ескеретін бірегей шифрлау сызбасыменерекшеленеді.

Бұзылған жүйелерде ұзақ уақыт болуын қамтамасыз ету үшінToddyCat түрлі әдістерді, соның ішінде тізілім кілті мен тиістіқызметті құруды қолданады. Бұл жүйені іске қосқан кездезиянды кодты жүктеуге мүмкіндік береді, ол топтың Samuraiбэкдорда қолданған әдістеріне ұқсайды.

Тергеу барысында «Касперский зертханасының» сарапшыларыToddyCat қолданатын қосымша құралдар мен құрамдауыштардытапты, соның ішінде Ninja — процесті басқару, файлдық жүйе, кері байланысты іске қосу (reverse shell), кодты енгізу жәнежелілік трафикті қайта бағыттау функциялары бар әмбебапагент. Сондай — ақ, LoFiSe — белгілі бір файлдарды іздеу үшін, DropBox Uploader — Dropbox — қа деректерді жүктеу үшін, Pcexter — OneDrive-қа мұрағаттық файлдарды жүктеу үшін, Passive UDP Backdoor-жүйеде ұзақ уақыт болуын қамтамасызету үшін, сондай-ақ CobaltStrike-бастапқы жүктеуші ретіндеқолданылады, содан кейін Ninja ашылуы жиі орын алады.

Алынған деректер зиянкестердің корпоративтік желілергеқандай табандылықпен және қандай әдістермен енетінін, оларарқылы қозғалатынын және ToddyCat тобының негізгімақсатына — кибер тыңшылыққа жету үшін маңыздыақпаратты жинайтынын көрсетеді.

«ToddyCat жүйелерді бұзып қана қоймайды, сонымен қатар ұзақуақыт бойы құнды деректерді жинау бойынша ойластырылғандәйекті әрекеттерді орындайды, назардан тыс қалу үшін жаңажағдайларға бейімделеді. Олардың озық тактикасы мен өзгерістерге үнемі бейімделуі бұл жай ғана кенеттен және қысқамерзімді шабуылдар емес, ұзақ науқан екенін көрсетеді. Қауіп-қатер ландшафты өзгеруде және белгілі кибершабуылдарғабелсенді түрде қарсы тұру ғана емес, сонымен қатар жаңақауіптерден хабардар болу керек. Қауіпсіздікті сақтау үшінжоғары технологиялық қорғаныс шешімдеріне инвестиция салу және АҚ саласындағы талдаушылардың ең өзекті деректерінеқол жеткізу қажет», — деп «Касперский зертханасы» ресейлікзерттеу орталығының жетекшісі Игорь Кузнецов түсіндірді.

Күрделі кибершабуылдардан қорғану үшін «Касперский зертханасы» компанияларға кеңес береді:

— SOC-орталығының мамандарына қауіптер туралы ең соңғыдеректерге, мысалы, «Касперский Зертханасының» 20 жылданастам жұмысында жинақталған кибершабуылдар туралыдеректер жинақталған Kaspersky Threat Intelligence Portalпорталына қол жеткізуге мүмкіндік беру. Негізгі қызметтергееркін қол жеткізу https://opentip.kaspersky.com/ сілтеме арқылыашық;

— соңғы құрылғылардағы қауіптерді анықтау, талдау жәнеоқиғалардан кейін уақтылы қалпына келтіру үшінEDR-шешімдерін, мысалы Kaspersky Endpoint Detection andResponse енгізу қажет;

— негізгі қорғаныс өнімдеріне қосымша, желілік деңгейдегіақауларды Kaspersky Anti Targeted Attack Platform сияқты ертесатыда анықтауға қабілетті корпоративтік деңгейдегі шешімдіқолдану;

— қызметкерлерге кибергигиенаның негізгі ережелерін оқыту, өйткені шабуылдар көбінесе фишингтен немесе басқаәлеуметтік инженерия техникасынан басталады.