Categories: AlertsCyberkriminalitätCybersicherheitSicherheit

ToddyCat sammelt Daten und exfiltriert sie in File-Hosting-Dienste

Die APT-Gruppe ToddyCat machte erstmals im Dezember 2020 mit schwerwiegenden Angriffen auf Unternehmen in Asien und Europa auf sich aufmerksam. Zu den Hauptwerkzeugen zählte der Ninja-Trojaner, die Backdoor Samurai und Loader, die schädliche Payloads auf das betroffene System laden. Seitdem überwacht Kaspersky mittels spezieller Signaturen die APT-Gruppe. Eine der Signaturen wurde auf einem System identifiziert; im Zuge weiterer Untersuchungen wurden neue Werkzeuge von ToddyCat entdeckt.

ToddyCat verwendet neue Loader-Variante

Die ToddyCat-Gruppe versucht beharrlich, ihre Angriffstechniken zu verfeinern. Die Loader spielen eine entscheidende Rolle während der Infektion des betroffenen Systems, indem sie den Einsatz des Ninja-Trojaners ermöglichen. Entgegen gewöhnlicher Vorgehensweisen ersetzt ToddyCat den Standard-Loader gelegentlich mit einer speziell auf die anvisierten Systeme zugeschnittenen Variante. Dieser maßgeschneiderte Loader verfügt über eine ähnliche Funktionsweise, unterscheidet sich jedoch durch sein einzigartiges Verschlüsselungsschema, das systemspezifische Eigenschaften wie das Laufwerkmodell und die GUID (Global Unique Identifier) berücksichtigt.

Um sich langfristig auf betroffenen Systemen einzunisten, setzt ToddyCat unter anderem auf die Erstellung eines Registry-Schlüssels und eines passenden Dienstes. Dadurch wird der schädliche Code beim Systemstart geladen.

Ninja, LoFiSe oder Pcexter

Im Zuge der Untersuchung wurden weitere Werkzeuge und Komponenten der ToddyCat-Gruppe aufgedeckt.

  • Ninja, ein vielseitiger Agent, der über Funktionen wie Prozessmanagement, Dateisystemkontrolle, Reverse-Shell-Sitzungen, Code-Injektion und Weiterleitung des Netzwerkverkehrs verfügt.
  • LoFiSe, um bestimmte Dateien zu finden
  • DropBox Uploader, um Dateien auf Dropbox hochzuladen
  • Pcexter, um Archivdateien auf OneDrive einzuschleusen
  • Eine passive UDP-Backdoor für Persistenz
  • Der Loader CobaltStrike kommuniziert mit einer bestimmten URL, häufig vor Einsatz des Ninja-Trojaners.
ToddyCats Ziel ist Cyberspionage – Dazu wendet die Gruppe eine ganze Reihe von Taktiken an, angefangen bei Entdeckungsaktivitäten, über Domain-Aufzählungen bis hin zu Lateral Movements.

Roger Homrich

Share
Published by
Roger Homrich
Tags: APTCyberbedrohungCyberkriminalitätIT-SicherheitTrojaner
7 Monaten ago

Recent Posts

Alphabet übertrifft die Erwartungen im ersten Quartal

Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im dritten Fiskalquartal

Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…

2 Tagen ago

Digitalisierung! Aber wie?

Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…

2 Tagen ago

Meta meldet Gewinnsprung im ersten Quartal

Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…

3 Tagen ago

Maximieren Sie Kundenzufriedenheit mit strategischem, kundenorientiertem Marketing

Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…

3 Tagen ago

Chatbot-Dienst checkt Nachrichteninhalte aus WhatsApp-Quellen

Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…

3 Tagen ago