- +81 (092)-562-1177
- [email protected]
- 〒812-0013 福岡市博多区博多駅東2-5-28 博多偕成ビル2F
ToddyCatハッカーグループ、産業規模のデータ窃盗に高度なツールを使用 ToddyCatとして知られる脅威アクターが、侵害された環境へのアクセスを維持し、貴重なデータを盗むためにさまざまなツールを使用していることが観察されています
ロシアのサイバーセキュリティ会社Kasperskyは、この敵対者が、主にアジア太平洋地域にある政府機関(いくつかは防衛関連)から「産業規模」でデータを収集するためにさまざまなプログラムに依存していると特徴づけています。
「多くのホストから大量のデータを収集するためには、攻撃者はデータ収集プロセスをできるだけ自動化し、攻撃対象のシステムに継続的にアクセスし監視するための複数の代替手段を提供する必要があります」とセキュリティ研究者のアンドレイ・グンキン、アレクサンダー・フェドトフ、ナタリア・ショルニコワは述べています。
ToddyCatは、2022年6月に同社によって初めて文書化され、少なくとも2020年12月以来、ヨーロッパとアジアの政府機関と軍事組織を標的とした一連のサイバー攻撃との関連で記録されました。これらの侵入は、侵害されたホストにリモートアクセスを可能にするパッシブバックドア「Samurai」を利用していました。
この脅威アクターのトレードクラフトの詳細な調査により、データを収集しMicrosoft OneDriveにアーカイブファイルをアップロードする追加のデータ流出ツール、LoFiSeおよびPcexterが明らかになりました。
サイバーセキュリティ 最新のプログラムセットには、既に感染したシステム内の特権ユーザーアカウントにアクセスした後に使用されるトンネリングデータ収集ソフトウェアの混合が含まれています。これには以下が含まれます:
OpenSSHを使用したリバースSSHトンネル “boot.exe”、”mstime.exe”、”netscan.exe”、”kaspersky.exe”のような無害に見えるファイルに名前を変更したSoftEther VPN NgrokおよびKrongを使用して、特定のポートにコマンドアンドコントロール(C2)トラフィックを暗号化してリダイレクト FRPクライアントは、Golangベースの高速リバースプロキシのオープンソース Cutheadは、特定の拡張子やファイル名、または変更日に一致するドキュメントを検索する.NETコンパイル済みの実行可能ファイル WAExpは、WhatsAppウェブアプリに関連するデータをキャプチャしてアーカイブとして保存する.NETプログラム TomBerBilは、Google ChromeやMicrosoft Edgeなどのウェブブラウザからクッキーと
