Conoce las peligrosas tácticas del grupo APT ToddyCat

tecnologia

El sofisticado grupo APT ToddyCat, descubierto en diciembre de 2020 tras ejecutar ciberataques de alto nivel a organizaciones de Europa y Asia, sigue siendo una de las amenazas más peligrosas. Las investigaciones de Kaspersky se han centrado en las herramientas que utiliza: Ninja Trojan y Samurai Backdoor, así como en los loaders de los que se sirve. La exhaustiva monitorización del grupo ha permitido descubrir nuevas herramientas de ataque.

El año pasado, los expertos de Kaspersky ya descubrieron una nueva generación de loaders desarrollados por ToddyCat, lo que demuestra los incansables esfuerzos del grupo por perfeccionar sus técnicas. Se trata de loaders que tienen un importante papel en la fase de infección y que permiten inocular el troyano Ninja. En ocasiones, ToddyCat desarrolla variantes específicas de cargadores para sistemas concretos. Estos se diferencian del resto porque cuentan con un cifrado único y tienen en cuenta aspectos específicos del sistema, como el tipo de unidad y el GUID (Globally Unique Identifier, el Identificador Único Global).

Los expertos en ciberseguridad de Kaspersky descubren avances significativos en la actividad del grupo de amenazas persistentes avanzadas (APT) ToddyCat, que ahora usa un nuevo conjunto de loaders para aumentar los daños. Además, descubrieron la implementación de malware orientado a recopilar archivos y filtrarlos en servicios legítimos

Para incrementar el nivel de persistencia en los sistemas comprometidos, ToddyCat usa distintas técnicas, como la creación de una clave de registro con su correspondiente servicio, lo que garantiza que el código malicioso se cargue durante el arranque del sistema, táctica que recuerda a los métodos utilizados por el backdoor Samurai.

La investigación revela también herramientas y componentes adicionales utilizados por ToddyCat, como el ya citado troyano Ninja. Se trata de un agente versátil, con funciones como gestión de procesos, control del sistema de archivos, inyección de código y reenvío de tráfico de red. También utiliza LoFiSe para la búsqueda de archivos concretos, DropBox Uploader para la carga de información en Dropbox, Pcexter para filtrar ficheros a OneDrive y CobaltStrike como loader que se comunica con una URL específica, a menudo antes de la implementación de Ninja.

«ToddyCat irrumpe en los sistemas y se establece durante mucho tiempo para recopilar información sensible, siendo capaz de adaptarse a las nuevas condiciones para pasar desapercibido. Las organizaciones deben ser conscientes de que el panorama de amenazas ha evolucionado. No se trata solo de defenderse, sino de vigilar y adaptarse continuamente a las nuevas condiciones. Para ello es crucial invertir en soluciones de seguridad de primer nivel y tener acceso a los últimos descubrimientos e información de inteligencia de amenazas», asegura Giampaolo Dedola, analista principal de seguridad de GReAT.

Para evitar ser víctima de estas y otras amenazas, tanto conocidas como desconocidas, los expertos de Kaspersky recomiendan implementar las siguientes medidas:

  • Proveer al equipo encargado del SOC de la última información de inteligencia de amenazas. Kaspersky Threat Intelligence es un punto de acceso para el departamento TI con información de ciberataques y otros datos recogidos por Kaspersky durante los últimos 20 años.
  • Aumentar las capacidades del equipo de ciberseguridad para que pueda afrontar las últimas amenazas con garantías a través de Kaspersky online training, desarrollado por los expertos de GReAT.
  • Para la detección, investigación y resolución temprana de incidentes que afecten a los endpoints es aconsejable implementar soluciones EDR como Kaspersky Endpoint Detection and Response
  • Contemplar el uso de una solución corporativa para detectar ataques contra la red en fase temprana, como Kaspersky Anti Targeted Attack Platform.
  • Muchos ataques comienzan con phishing y otras técnicas de ingeniería social. Es importante capacitar a los miembros del equipo para que sepan cuándo está ante estas amenazas, algo posible con herramientas como Kaspersky Automated Security Awareness Platform.

Kaspersky analiza y profundiza estos días en el futuro de la ciberseguridad en su Security Analyst Summit (SAS) 2023, que se celebra entre el 25 al 28 de octubre en Phuket, Tailandia. En el evento se reúnen investigadores antimalware de primer nivel, así como fuerzas y cuerpos de seguridad de todo el mundo, además de equipos de respuesta a emergencias cibernéticas y reconocidos líderes de sectores como finanzas, tecnología, atención médica, academia, administraciones públicas y gobiernos.