Grupo APT ToddyCat roba datos sensibles de infraestructuras estratégicas

El grupo de amenazas conocido como ToddyCat se ha destacado por su sofisticación y diversidad en el uso de herramientas para mantener el acceso a entornos comprometidos y robar datos sensibles. Este actor de amenazas, identificado por primera vez por la firma rusa de ciberseguridad Kaspersky, se centra en recopilar datos a gran escala, especialmente de organizaciones gubernamentales y relacionadas con la defensa en la región de Asia y el Pacífico.

Antecedentes

Desde su primera detección en junio de 2022, los investigadores han observado que ToddyCat emplea una serie de programas y técnicas para automatizar la recolección de datos y mantener un acceso constante a los sistemas atacados. En particular, su estrategia incluye el uso de la puerta trasera pasiva llamada Samurai, que permite el acceso remoto a hosts comprometidos, y otras herramientas como LoFiSe y Pcexter para exfiltrar datos y cargar archivos en servicios de almacenamiento en la nube, como Microsoft OneDrive.

Herramientas usadas por ToddyCat

ToddyCat es conocido por su sofisticada metodología de ataque, incluyendo el uso de herramientas especializadas para mantener el acceso y extraer datos de sistemas comprometidos. A continuación se detallan algunas de las herramientas utilizadas en los últimos ataque de este grupo de ciberactores.
 

Tunelización maliciosa

El proceso de tunelización malicioso permite a los atacantes acceder y controlar de forma remota sistemas comprometidos a través de conexiones cifradas y seguras.

• Creación de la Tarea Programada
  • Los atacantes crean una tarea programada en el sistema comprometido para ejecutar un comando que inicia el túnel. La tarea programada es un proceso automatizado que se ejecuta en un momento o evento específico, permitiendo que el túnel se mantenga activo sin intervención manual.
• Comunicación entre el Host Infectado y el Servidor Remoto
  • Con la conexión SSH establecida, el tráfico se redirige entre el servidor remoto y el host infectado a través del puerto definido. Esto permite al atacante acceder a servicios y recursos internos de la red comprometida, como consultas DNS para obtener información de direcciones IP o puertos utilizados por otros servicios, como SMB.
• Personalización del Túnel
  • Cada usuario puede tener un puerto diferente en el servidor remoto, lo que les permite dirigir el tráfico a distintos servicios o sistemas dentro de la red comprometida. Por ejemplo, el puerto 445 se usa comúnmente para el protocolo SMB, lo que puede dar acceso a recursos compartidos y datos confidenciales.

A continuación, se muestra un diagrama con la creación del túnel SSH:

Ilustración 1: Diagrama de tunelización
Fuente: Securelist

Uso herramienta WAExp (Extracción datos WhatsApp Web)

WAExp es una herramienta escrita en .NET diseñada para acceder a datos locales de la versión de WhatsApp Web, como información de perfil, datos de chat, números de teléfono de usuarios y datos de sesión. Los atacantes que utilizan esta herramienta están interesados en recopilar datos confidenciales de las conversaciones de WhatsApp de las víctimas. WAExp puede obtener estos datos accediendo a los archivos de almacenamiento local en los navegadores donde se utiliza WhatsApp Web. Al copiar estos archivos, el atacante puede obtener detalles personales e incluso conversaciones completas.

Esta herramienta puede ejecutarse con diferentes argumentos para lograr sus objetivos. El argumento "check" verifica la presencia de datos de WhatsApp en el host, "copy" copia los datos a una carpeta temporal, y "start" realiza la copia y empaqueta los datos en un archivo. Si se utiliza el argumento "remote", la herramienta busca carpetas de usuarios en un host remoto a través de la red. De lo contrario, busca en el disco del sistema. WAExp busca datos en las carpetas de usuario y, posteriormente, explora las subcarpetas correspondientes de los navegadores Chrome, Edge y Mozilla para encontrar archivos relacionados con WhatsApp. En el caso de Chrome y Edge, la herramienta explora el directorio " <User>\Appdata\local\Google\", mientras que para Mozilla, busca en " <User>\Appdata\roaming\", identificando las carpetas que contienen los datos de WhatsApp Web. El acceso a estos datos permite a los atacantes recopilar información sensible y confidencial sobre las conversaciones de WhatsApp de las víctimas.
 

Ilustración 2: Descubrimiento de rutas WhatsApp web en navegadores
Fuente: Securelist

Apreciación

Las tácticas, técnicas y procedimientos junto a las herramientas utilizadas por ToddyCat, demuestran la creciente sofisticación y adaptabilidad de las amenazas cibernéticas actuales. El análisis de estas estrategias destaca la importancia de una defensa en profundidad y de medidas proactivas para proteger las infraestructuras críticas. Para mitigar el riesgo de accesos no autorizados y robo de datos, se recomienda implementar controles más estrictos a nivel de firewall, evitando el tráfico de servicios en la nube que ofrecen tunelización de datos de manera no autorizada. Asimismo, es crucial limitar el uso de herramientas de acceso remoto por parte de los administradores, permitiendo solo aquellas estrictamente necesarias para las operaciones diarias. Cualquier herramienta adicional debería ser objeto de un riguroso monitoreo para detectar actividades potencialmente sospechosas.

Además de los controles técnicos, las prácticas de seguridad entre los usuarios desempeñan un papel vital. Se debe fomentar el uso de gestores de contraseñas seguros y evitar el almacenamiento de contraseñas en navegadores web, ya que esto puede facilitar el acceso de atacantes a cuentas sensibles. La reutilización de contraseñas entre distintos servicios debe eliminarse, pues puede permitir el movimiento lateral entre sistemas y aumentar el impacto de una violación de seguridad.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.