Experten des Cyber-Sicherheitsanbieters Kaspersky haben neue Informationen zu den Aktivitäten der Advanced-Persistent-Threat-Gruppe ToddyCat veröffentlicht, insbesondere zu den Tools, die die Gruppe aktuell nutzt, um Systeme zu infiltrieren, Daten zu finden und abzugreifen. Die Gruppe war im Dezember 2020 mit kriminellen Aktivitäten aufgefallen und zeichnete seinerzeit für mehrere Angriffe auf hochrangige Einrichtungen in Europa und Asien verantwortlich. Das Kaspersky-Forschungsteam hat die Aktivitäten der Gruppe weiter beobachtet und festgestellt, dass ToddyCat inzwischen mit anderen Loadern arbeitet, die von Grund auf neu entwickelt worden sind, und ein neues Toolset zum Stehlen und Exfiltrieren von Daten verwendet. Während die APT-Gruppe lange Zeit Standard-Loader genutzt hat, haben neueste Untersuchungen ergeben, dass die Kriminellen bei Angriffen auf bestimmte Ziele sogenannte Tailored Loader einsetzen, die auf das jeweilige Ziel-System genau zugeschnitten sind. Dass die Loader langfristig unerkannt bleiben, sichern die Cyber-Kriminellen dabei mittels einer Technik ab, die schon von der Samurai-Backdoor dieser Bedrohungsakteure bekannt ist und es den Angreifern ermöglicht, Malware in svchost.exe zu verstecken.
Bei den Loadern handelt es sich um 64-Bit-Bibliotheken, die von rundll32.exe aufgerufen oder als Side-Load in legitime und signierte ausführbare Dateien eingefügt werden. Diese Komponenten werden während der Infektionsphase verwendet, um im nächsten Schritt den Trojaner Ninja auf das Ziel-System zu laden. Dabei handelt es sich um eine ausgeklügelte, in C++ geschriebene Malware, die zur Enumeration und Verwaltung laufender Prozesse, dem Management von mehreren Reverse-Shell-Sitzungen, zum Laden von zusätzlichen Modulen (auch Plugins), zur proxy-funktionalen Weiterleitung von TCP-Paketen und zum Einschleusen von Code in beliebige Prozesse verwendet werden kann. Die neueste Version des Trojaners verschleiert dabei die eingebettete Konfiguration nicht wie in 2020 mit dem XOR-Schlüssel 0xAA, sondern verwendet dafür den Operator NOT in einer binären Verknüpfung. Die in der Konfiguration enthaltenen Informationen sind laut Kaspersky-Forschungsteam gleich gebleiben, lediglich der Name des Mutex wurde hinter den HTTP-Header verschoben.
Zu den Tools, die ToddyCat aktuell nutzt, gehört laut Kaspersky, eine Komponente zum Auffinden und Sammeln von Dateien auf dem Ziel-System, die sich LoFiSe nennt. Der Name leitet sich von dem Mutex-Namen ab, der von diesem Tool verwendet wird: „MicrosoftLocalFileService“. Das Tool selbst ist eine DLL-Datei namens DsNcDiag.dll, die mit der DLL-Side-Loading-Technik gestartet wird. Die legitime ausführbare Datei mit digitaler Signatur und Originalname nclauncher.exe gehört zum Softwarepaket Pulse Secure Network Connect 8.3. Auch einen DropBox-Uploader, der von jedermann zum Hochladen von Daten auf den beliebten Filehosting-Dienst verwendet werden kann, nutzt ToddyCat für sich als Tool zum Exfiltrieren von Dateien. Ein weiterer Uploader, Pcexter, der zur Exfiltration von Archivdateien auf Microsoft OneDrive verwendet wird, greift auf eine legitime ausführbare Datei von Visual Studio, VSPerfCmd zu, die eigentlich zum Sammeln von Leistungsdaten verwendet wird. Nachdem die Cyber-Kriminellen „Global\SystemLocalPcexter“ ausgelöst haben, beginnt Pcexter mit der Suche nach bestimmten Dateien. Die Funde sendet Pcexter über die POST-Methode und verwendet dabei die OneDrive OAuth 2.0-Autorisierung und ruft ein Zugriffstoken ab.
Haben die Cyber-Kriminellen ein Ziel infiltriert, bewegt sich die Gruppe horizontal innerhalb der Netzwerk-Architektur fort, indem sie Netzwerkfreigaben mit kompromittierten Domänenadministrator-Anmeldeinformationen lokal aktiviert. Um unerkannt zu bleiben, achten die Angreifer darauf, die verwendeten Anmeldeinformationen im Laufe der Zeit zu wechseln. Und: Nach dem Kopieren eines Skripts wird eine geplante Aufgabe erstellt, ausgeführt und sofort zusammen mit der Netzwerkfreigabe gelöscht, und zwar zyklisch für jeden Zielhost. Die Aktivitäten der Gruppe sind so schwer zu identifizieren, weil sie Standard-Betriebssystemverwaltungsprogramme wie net und
ping nutzt, Dateien von vielen verschiedenen Hosts einsammelt und in Archiven speichert, die dann über öffentliche Dateispeicherdienste aus dem Ziel-Netzwerk exfiltriert werden. „ToddyCat etabliert langfristige Operationen, um wertvolle Informationen über einen längeren Zeitraum anzusammeln“, erklärt Giampaolo Dedola, Lead Security Researcher im globalen Forschungs- und Analyseteam (GReAT) bei Kaspersky. Bemerkenswert sei, wie sich diese Gruppe an veränderte Bedingungen angepasst habe, um unentdeckt zu bleiben: mit ihren fortgeschrittenen Taktiken und ihrer Anpassungsfähigkeit stelle die Cyber-Spionage-Gruppe eine ernsthafte Gefahr dar. „Unternehmen müssen erkennen“, so Dedola, „dass sich die Bedrohungslandschaft weiterentwickelt hat und es nicht mehr nur rein um Verteidigung geht, sondern um anhaltende Wachsamkeit und Flexibilität.“
