Бэкдор Samurai не оставляет жертвам ни малейшего шанса на сохранность данных.
Специалисты из «Лаборатории Касперского»обнаружили,что хакерская группа ToddyCat использует широкий ассортимент инструментов для сохранения доступа к скомпрометированным системам и кражи ценных данных. Группа, активно работающая с декабря 2020 года, специализируется на атаках в основном на правительственные и оборонные организации Азиатско-Тихоокеанского региона.
Основным инструментом взлома является пассивныйбэкдорSamurai, позволяющий удалённо управлять заражёнными хостами. По словам исследователей Андрея Гунькина, Александра Федотова и Натальи Шорниковой, для сбора данных с большого числа хостов хакеры максимально автоматизировали процесс, используя несколько альтернативных способов непрерывного доступа и мониторинга систем.
Кроме вредоноса Samurai, ToddyCat также внедряет дополнительные инструменты для эксфильтрации данных, такие как LoFiSe и Pcexter для сбора данных и загрузки архивных файлов в Microsoft OneDrive. Дополнительные программы включают туннелирование данных с помощью различного ПО:
- Обратный SSH-туннель с использованием OpenSSH;
- SoftEther VPN, маскируемый под безобидные файлы, такие как «boot.exe», «mstime.exe», «netscan.exe» и «kaspersky.exe»;
- Ngrok и Krong для шифрования и перенаправления трафика управления и контроля;
- FRP, клиент быстрого обратного прокси на базе Golang;
- Cuthead, исполняемый файл .NET для поиска документов по расширению, имени или дате изменения;
- WAExp, программа .NET для захвата данных из веб-приложения WhatsApp и сохранения их в архиве;
- TomBerBil для извлечения cookie и учётных данных из веб-браузеров, включая Google Chrome и Microsoft Edge.
Эти инструменты позволяют поддерживать множество одновременных соединений с заражёнными конечными точками и контролируемой инфраструктурой, что служит резервным механизмом для сохранения доступа в случае обнаружения одного из каналов.
«Лаборатория Касперского» предупреждает, что для защиты инфраструктуры организаций необходимо добавить в список блокировки брандмауэра ресурсы и IP-адреса облачных сервисов, предоставляющих туннелирование трафика. Также рекомендуется не сохранять пароли в браузерах, чтобы предотвратить доступ хакеров к чувствительной информации.