Kaspersky dévoile l’évolution des tactiques du groupe APT ToddyCat, utilisées dans des campagnes de cyberespionnage actives

0
132

Les chercheurs en cybersécurité de Kaspersky ont découvert des évolutions significatives dans les activités du groupe ToddyCat Advanced Persistent Threat (APT), mettant en lumière l’évolution des stratégies qu’il déploie et présentant un nouvel ensemble de loaders destinés à faciliter leurs opérations malveillantes. En outre, l’enquête a permis de découvrir une nouvelle série de logiciels malveillants distribués par ToddyCat, que l’acteur de la menace utilise pour collecter des fichiers d’intérêt qu’il exfiltre par la suite sur des plateformes d’hébergement de fichiers publics et légitimes. Ces découvertes dévoilent le poids croissant du cyber-espionnage dans le paysage des menaces, et la capacité d’adaptation des groupes APT pour échapper à la détection.

Tribune – ToddyCat, un groupe APT sophistiqué qui s’est d’abord fait connaître en décembre 2020 suite à une série d’attaques très médiatisées contre des organisations en Europe et en Asie, est toujours actif aujourd’hui et plus redoutable que jamais. Les premières analyses de Kaspersky à son sujet se sont d’abord intéressées aux principaux outils utilisés dans les campagnes menées par ToddyCat, à savoir le cheval de Troie Ninja, la porte dérobée Samurai, et les loaders utilisés pour lancer ces charges utiles malveillantes. Depuis, les experts de Kaspersky ont créé des signatures spéciales pour surveiller les activités malveillantes du groupe. L’une de ces signatures a été détectée sur un système et les chercheurs ont entamé une nouvelle enquête qui a conduit à la découverte des nouveaux outils de ToddyCat.

Au cours de l’année écoulée, les chercheurs de Kaspersky ont découvert une nouvelle génération de loaders développés par ToddyCat, soulignant les efforts incessants du groupe pour affiner ses techniques d’attaque. Ces dispositifs jouent un rôle essentiel pendant la phase d’infection, en permettant le déploiement du cheval de Troie Ninja. Il est intéressant de noter que ToddyCat remplace parfois les loaders standards par une variante personnalisée, adaptée à des systèmes cibles spécifiques. Cette version personnalisée présente des fonctionnalités similaires mais se distingue par son schéma de chiffrement unique, qui prend en compte des attributs spécifiques au système tels que le modèle de disque et le GUID (identificateur global unique) du volume.

Pour maintenir une persistance à long terme sur les systèmes compromis, ToddyCat utilise diverses techniques, comme la création d’une clé de registre et d’un service correspondant. Cela permet de s’assurer que le code malveillant est chargé au démarrage du système, une tactique qui rappelle les méthodes utilisées par la porte dérobée Samurai exploitée par le groupe.

L’enquête de Kaspersky a permis de découvrir d’autres outils et composants utilisés par ToddyCat, notamment Ninja, un agent polyvalent doté de fonctions telles que la gestion des processus, le contrôle du système de fichiers, les sessions de reverse shell, l’injection de code et la transmission du trafic réseau. L’acteur de la menace utilise également LoFiSe pour trouver des fichiers spécifiques, DropBox Uploader pour télécharger des données vers Dropbox, Pcexter pour exfiltrer des fichiers d’archive vers OneDrive, une porte dérobée UDP passive pour la persistance, et CobaltStrike comme loader qui se connecte avec une URL spécifique, souvent avant le déploiement de Ninja. Ces éléments étudiés par Kaspersky témoignent de la variété d’outils dont dispose ToddyCat pour commettre ses attaques.

Ces récentes découvertes confirment que ToddyCat œuvre sans relâche à des fins de cyber-espionnage. Le rapport explique comment le groupe infiltre les réseaux d’entreprise, effectue des déplacements latéraux et recueille des informations précieuses. ToddyCat utilise toute une série de tactiques, comprenant des phases de découverte, l’énumération de domaines et de déplacements latéraux, le tout dans le seul but de parvenir à leurs fins en termes d’espionnage. 

« ToddyCat ne se contente pas de pénétrer dans les systèmes ; il met en place des opérations à long terme pour recueillir des informations précieuses sur une période prolongée, tout en s’adaptant en continu pour ne pas être détecté. Les organisations doivent reconnaître que le paysage des menaces a évolué : il ne s’agit plus seulement de se défendre, mais de faire preuve d’une vigilance et d’une adaptabilité permanentes. Pour rester en sécurité, il est essentiel d’investir dans des solutions de sécurité de premier ordre et d’avoir accès aux dernières découvertes en matière de renseignements sur les menaces », déclare Giampaolo Dedola, chercheur principal en sécurité chez GReAT.

Pour ne pas devenir victime d’une attaque ciblée organisée par un acteur connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI).

  • Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne.

  • Pour la détection au niveau des terminaux, l’investigation et la réponse aux incidents, mettez en œuvre des solutions EDR.

  • En plus d’une protection essentielle des terminaux il est indispensable de mettre en œuvre une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce.

  • De nombreuses attaques ciblées sont initiées par du phishing ou d’autres techniques d’ingénierie sociale, c’est pourquoi il est important de sensibiliser vos équipes à la sécurité et de leur enseigner des compétences pratiques.