ToddyCat. Nowa grupa hakerska z Chin szpieguje w sieci

ToddyCat to nowa grupa hakerska z Chin, która w sieci realizuje kampanie cyberszpiegowskie. Na jej celowniku znalazły się organizacje z Europy i Azji - ostrzegają eksperci i dodają, że ToddyCat działa w wyrafinowany sposób i nieustannie poprawia swoje taktyki.

Grupa ToddyCat obserwowana jest od relatywnie niedawna. Analizując złośliwe oprogramowanie, z którego korzysta, ślady jej działalności można datować na 2020 r. Od tego czasu znacząco poprawiła skuteczność swoich operacji, realizując kampanie cyberszpiegowskie przeciwko istotnym organizacjom z Europy i Azji.

Firma CheckPoint w swoim raporcie ostrzega, że kampania „Stayin« Alive”, na celowniku której znalazły się przede wszystkim podmioty z drugiego z wymienionych kontynentów, obejmuje ataki głównie na telekomy i organizacje rządowe.

Kogo atakują hakerzy?

Według badaczy, downloader znany jako CurKeep został wykryty w atakach grupy na organizacje z Wietnamu, Uzbekistanu i Kazachstanu. Szybko jednak okazało się, że na celowniku jest znacznie więcej organizacji i więcej krajów.

Jedną z ulubionych technik, którymi posługują się cyberprzestępcy z tej grupy, jest jak pisze serwis CSO Online, jest tzw. DLL side-loading, czyli podmienianie pliku DLL poszukiwanego przez daną aplikację na złośliwy. Metoda ta pozwala hakerom na dość sprawne ukrywanie się i maskowanie swojej aktywności. Ostatecznie uruchamiany jest prawdziwy plik wykonywalny, który co prawda załadował wcześniej podmieniony, złośliwy DLL, jednak nie da się tego łatwo dostrzec.

Wcześniej, jak czytamy, ToddyCat wykorzystywali podatności w serwerach Microsoft Exchange, a także rozsyłali złośliwe oprogramowanie za pomocą fałszywych maili, wykorzystując socjotechnikę.

Zawoalowane szpiegostwo

ToddyCat prowadzą operacje szpiegowskie - to jasne dla badaczy cyberbezpieczeństwa. Celem atakujących jest penetracja sieci, których bezpieczeństwo naruszono wykorzystując do tego loadery i trojany, a ostatecznie poszukiwanie i gromadzenie informacji, które interesują cyberprzestępców.

To nie pierwszy przypadek, kiedy mamy do czynienia z chińskimi operacjami szpiegowskimi. Pekin często sięga po tę metodę zarówno do realizacji celów politycznych, jak i gospodarczych i chętnie oskarża o takie działania inne kraje.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].