APT-группа ToddyCat специализируется на краже конфиденциальной информации с хостов, прежде всего правительственных организаций в регионе Азиатско-Тихоокеанского региона. В процессе исследования было выявлено, что группа собирает данные в промышленных масштабах, поэтому им требуется максимальная автоматизация сбора данных и наличие нескольких альтернативных способов постоянного доступа и мониторинга атакуемых систем.
Один из способов получения постоянного доступа к удаленным сетевым сервисам - создание обратного SSH-туннеля. В данном случае злоумышленники используют SSH-клиент из набора инструментов OpenSSH for Windows вместе с файлом закрытого ключа OPENSSH, который скрывается с помощью скрипта "a.bat". Эти файлы передаются на целевой хост по протоколу SMB с помощью общих папок.
Для обеспечения постоянного доступа к инфраструктуре злоумышленники также используют различные инструменты для туннелирования трафика. Использование нескольких туннелей позволяет им сохранять доступ к системам даже в случае обнаружения и ликвидации одного из туннелей. Таким образом, они могут проводить разведку и подключаться к удаленным узлам.
В данной статье также описывается процесс создания обратного SSH-туннеля. Файлы закрытого ключа скопированы в папку AppReadiness, которая является частью службы AppReadiness в Windows. Злоумышленники использовали файлы с расширениями .ini и .dat для скрытия их истинного назначения. После копирования файлов ключей, выполняется сценарий a.bat, который выполняет команды для удаления доступа к файлу ключа.
В целом, ToddyCat использует различные инструменты для постоянного доступа к инфраструктуре и сбора информации с хостов. Их автоматизированный подход и использование различных альтернативных способов доступа позволяют им проводить широкомасштабные операции по краже конфиденциальных данных.
Indicators of Compromise
IPv4
- 103.27.202.85
- 118.193.40.42
Domains
- Ha.bbmouseme.com
URLs
- http://23.106.122.5/hamcore.se2
- http://www.netportal.or.kr/common/css/ham.js
- http://www.netportal.or.kr/common/css/main.js
- https://etracking.nso.go.th/UserFiles/File/111/hamcore.se2
- https://etracking.nso.go.th/UserFiles/File/111/tasklist.exe
MD5
- 1d2b32910b500368ef0933cdc43fde0b
- 1f514121162865a9e664c919e71a6f62
- 34985fae5fa8e9ebaa872de8d0105005
- 4a79a8b1f6978862ecfa71b55066aadd
- 5c2870f18e64a14a64abf9a56f5b6e6b
- 6f32d6cfaad3a956aacea4c5a5c4fbfe
- 750ef49afb88ddd52f6b0c500be9b717
- 853a75364d76e9726474335bcd17e225
- 9dc7237ac63d552270c5ca27960168c3
- afea0827779025c92cab86f685d6429a
- ba3ef3d0947031fb9ffbc2401ba82d79
- c7d8266c63f8aeca8d5f5bdcd433e72a