ToddyCat es una organización APT que se enfoca principalmente en agencias gubernamentales y defensa en la región de Asia Pacífico. Uno de sus principales objetivos es robar información confidencial de las computadoras. Recientemente, el equipo de Kaspersky descubrió que ToddyCat ha obtenido datos industriales a través de una serie de métodos complejos.
Según informes de 2020, la organización ha atacado servidores de Exchange para implantar el troyano Ninja y el backdoor Samurai, con el fin de mantener el control de los dispositivos y propagarse lateralmente dentro de la organización.
Durante sus ataques, los atacantes buscan automatizar lo más posible la recolección de datos de múltiples computadoras y monitorearlas continuamente. El equipo de investigación de Kaspersky descubrió que después de infiltrarse con éxito, ToddyCat utilizó varias herramientas para establecer múltiples canales de comunicación externos. Incluso si uno de estos canales es descubierto y eliminado, todavía pueden acceder al sistema a través de otros canales, incluyendo canales SSH inversos, SoftEther VPN, Ngrok, Kron, FRP client, entre otros.
Además, el equipo de investigación de Kaspersky también descubrió que ToddyCat utiliza una nueva herramienta de recolección de datos llamada “cuthead”, que puede buscar archivos con extensiones o nombres específicos. También utilizan la herramienta TomBerBil para recolectar cookies y contraseñas almacenadas en los navegadores, con el fin de obtener más información confidencial.
ToddyCat también tiene como objetivo la aplicación de mensajería WhatsApp. Según el análisis actual, recopilan datos de la versión web de la aplicación, ya que los navegadores almacenan estos datos en la computadora del usuario. Esto incluye información personal detallada, conversaciones, números de teléfono de los contactos y datos de sesión. Utilizan una herramienta llamada WAExp para copiar y almacenar estos datos, que primero identifica el directorio del usuario y luego obtiene los archivos relevantes de los navegadores Chrome, Edge y Mozilla.
Los investigadores descubrieron que ToddyCat se conecta continuamente a las computadoras objetivo utilizando diversas herramientas y automatiza la búsqueda y recolección de datos de interés. También utilizan diferentes métodos para evadir las medidas de seguridad y evitar ser detectados por el sistema.
Para proteger la seguridad de los dispositivos de la organización, los investigadores recomiendan agregar los recursos de servicios en la nube que proporcionan canales de tráfico y direcciones IP a la lista de bloqueo del firewall. También se debe restringir el uso de herramientas de conexión remota para los administradores y prohibir o monitorear el uso de programas no autorizados. Además, se debe aconsejar a los usuarios que eviten almacenar contraseñas en sus navegadores, ya que esto facilita el acceso de los atacantes a información confidencial.
En resumen, ToddyCat es una organización APT altamente sofisticada que utiliza una variedad de herramientas y técnicas para infiltrarse en sistemas y robar información confidencial. Es importante que las organizaciones tomen medidas de seguridad adecuadas para proteger sus dispositivos y datos de posibles ataques.