Les experts en cybersécurité de Kaspersky découvrent des avancées significatives dans l’activité du groupe ToddyCat Advanced Persistant Threat (APT), qui utilise désormais un nouvel ensemble de chargeurs pour augmenter les dégâts. De plus, ils ont découvert la mise en œuvre de logiciels malveillants visant à collecter des fichiers et à les filtrer vers des services légitimes.
Le groupe sophistiqué ToddyCat APT, découvert en décembre 2020 après avoir exécuté des cyberattaques de haut niveau contre des organisations en Europe et en Asie, reste l’une des menaces les plus dangereuses. Les enquêtes de Kaspersky se sont concentrées sur les outils qu’il utilise : Ninja Trojan et Samurai Backdoor, ainsi que sur les chargeurs qu’il utilise. La surveillance exhaustive du groupe a permis de découvrir de nouveaux outils d’attaque.
L’année dernière, les experts de Kaspersky avaient déjà découvert une nouvelle génération de chargeurs développés par ToddyCat, démontrant les efforts inlassables du groupe pour perfectionner ses techniques. Il s’agit de chargeurs qui jouent un rôle important dans la phase d’infection et permettent d’inoculer le cheval de Troie Ninja. ToddyCat développe parfois des variantes de chargeurs spécifiques pour des systèmes spécifiques. Ceux-ci diffèrent des autres car ils ont un cryptage unique et prennent en compte des aspects spécifiques du système, tels que le type de lecteur et le GUID (Globally Unique Identifier).
Pour augmenter le niveau de persistance dans les systèmes compromis, ToddyCat utilise différentes techniques, comme la création d’une clé de registre avec son service correspondant, qui garantit que le code malveillant est chargé lors du démarrage du système, une tactique qui rappelle les méthodes utilisées par le samouraï de la porte dérobée.
L’enquête révèle également des outils et composants supplémentaires utilisés par ToddyCat, tels que le cheval de Troie Ninja susmentionné. Il s’agit d’un agent polyvalent, doté de fonctions telles que la gestion des processus, le contrôle du système de fichiers, l’injection de code et le transfert du trafic réseau. Il utilise également LoFiSe pour rechercher des fichiers spécifiques, DropBox Uploader pour télécharger des informations sur Dropbox, Pcexter pour filtrer les fichiers sur OneDrive et CobaltStrike comme chargeur qui communique avec une URL spécifique, souvent avant la mise en œuvre de Ninja.
“ToddyCat s’introduit dans les systèmes et s’établit depuis longtemps pour collecter des informations sensibles, étant capable de s’adapter aux nouvelles conditions pour passer inaperçu. Les organisations doivent être conscientes que le paysage des menaces a évolué. Il ne s’agit pas seulement de se défendre, mais de continuellement surveiller et s’adapter aux nouvelles conditions. Pour cela, il est crucial d’investir dans des solutions de sécurité de haut niveau et d’avoir accès aux dernières découvertes et informations sur les menaces”, déclare Giampaolo Dedola, analyste principal en sécurité chez GReAT.
Pour éviter d’être victime de ces menaces et d’autres, connues et inconnues, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
--Fournissez à l’équipe SOC les dernières informations sur les menaces. Kaspersky Threat Intelligence est un point d’accès pour le service informatique aux informations sur les cyberattaques et aux autres données collectées par Kaspersky au cours des 20 dernières années.
Augmentez les capacités de l’équipe de cybersécurité afin qu’elle puisse faire face aux dernières menaces avec des garanties grâce à la formation en ligne Kaspersky, développée par les experts GReAT.
Pour la détection précoce, l’enquête et la résolution des incidents affectant les points finaux, il est conseillé de mettre en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.
Envisagez d’utiliser une solution d’entreprise pour détecter les attaques réseau précoces, telle que Kaspersky Anti Targeted Attack Platform.
De nombreuses attaques commencent par le phishing et d’autres techniques d’ingénierie sociale. Il est important de former les membres de l’équipe afin qu’ils sachent quand ils sont confrontés à ces menaces, ce qui est possible grâce à des outils tels que Kaspersky Automated Security Awareness Platform.
Kaspersky analyse et approfondit l’avenir de la cybersécurité ces jours-ci lors de son Security Analyst Summit (SAS) 2023, qui se tiendra du 25 au 28 octobre à Phuket, en Thaïlande. L’événement rassemble des chercheurs de haut niveau en matière de lutte contre les logiciels malveillants, ainsi que des organismes chargés de l’application de la loi du monde entier, ainsi que des équipes d’intervention en cas d’urgence en matière de cybersécurité et des dirigeants reconnus de secteurs tels que la finance, la technologie, la santé, le monde universitaire, les administrations publiques et les gouvernements. .
