El grupo de amenazas conocido como ToddyCat se ha destacado por su sofisticación y diversidad en el uso de herramientas para mantener el acceso a entornos comprometidos y robar datos sensibles. Este actor de amenazas, identificado por primera vez por la firma rusa de ciberseguridad Kaspersky, se centra en recopilar datos a gran escala, especialmente de organizaciones gubernamentales y relacionadas con la defensa en la región de Asia y el Pacífico.
Antecedentes
Desde su primera detección en junio de 2022, los investigadores han observado que ToddyCat emplea una serie de programas y técnicas para automatizar la recolección de datos y mantener un acceso constante a los sistemas atacados. En particular, su estrategia incluye el uso de la puerta trasera pasiva llamada Samurai, que permite el acceso remoto a hosts comprometidos, y otras herramientas como LoFiSe y Pcexter para exfiltrar datos y cargar archivos en servicios de almacenamiento en la nube, como Microsoft OneDrive.
Herramientas usadas por ToddyCat
ToddyCat es conocido por su sofisticada metodología de ataque, incluyendo el uso de herramientas especializadas para mantener el acceso y extraer datos de sistemas comprometidos. A continuación se detallan algunas de las herramientas utilizadas en los últimos ataque de este grupo de ciberactores.
Tunelización maliciosa
El proceso de tunelización malicioso permite a los atacantes acceder y controlar de forma remota sistemas comprometidos a través de conexiones cifradas y seguras.
A continuación, se muestra un diagrama con la creación del túnel SSH:
Ilustración 1: Diagrama de tunelización
Fuente: Securelist
Uso herramienta WAExp (Extracción datos WhatsApp Web)
WAExp es una herramienta escrita en .NET diseñada para acceder a datos locales de la versión de WhatsApp Web, como información de perfil, datos de chat, números de teléfono de usuarios y datos de sesión. Los atacantes que utilizan esta herramienta están interesados en recopilar datos confidenciales de las conversaciones de WhatsApp de las víctimas. WAExp puede obtener estos datos accediendo a los archivos de almacenamiento local en los navegadores donde se utiliza WhatsApp Web. Al copiar estos archivos, el atacante puede obtener detalles personales e incluso conversaciones completas.
Esta herramienta puede ejecutarse con diferentes argumentos para lograr sus objetivos. El argumento "check" verifica la presencia de datos de WhatsApp en el host, "copy" copia los datos a una carpeta temporal, y "start" realiza la copia y empaqueta los datos en un archivo. Si se utiliza el argumento "remote", la herramienta busca carpetas de usuarios en un host remoto a través de la red. De lo contrario, busca en el disco del sistema. WAExp busca datos en las carpetas de usuario y, posteriormente, explora las subcarpetas correspondientes de los navegadores Chrome, Edge y Mozilla para encontrar archivos relacionados con WhatsApp. En el caso de Chrome y Edge, la herramienta explora el directorio " <User>\Appdata\local\Google\", mientras que para Mozilla, busca en " <User>\Appdata\roaming\", identificando las carpetas que contienen los datos de WhatsApp Web. El acceso a estos datos permite a los atacantes recopilar información sensible y confidencial sobre las conversaciones de WhatsApp de las víctimas.
Ilustración 2: Descubrimiento de rutas WhatsApp web en navegadores
Fuente: Securelist
Apreciación
Las tácticas, técnicas y procedimientos junto a las herramientas utilizadas por ToddyCat, demuestran la creciente sofisticación y adaptabilidad de las amenazas cibernéticas actuales. El análisis de estas estrategias destaca la importancia de una defensa en profundidad y de medidas proactivas para proteger las infraestructuras críticas. Para mitigar el riesgo de accesos no autorizados y robo de datos, se recomienda implementar controles más estrictos a nivel de firewall, evitando el tráfico de servicios en la nube que ofrecen tunelización de datos de manera no autorizada. Asimismo, es crucial limitar el uso de herramientas de acceso remoto por parte de los administradores, permitiendo solo aquellas estrictamente necesarias para las operaciones diarias. Cualquier herramienta adicional debería ser objeto de un riguroso monitoreo para detectar actividades potencialmente sospechosas.
Además de los controles técnicos, las prácticas de seguridad entre los usuarios desempeñan un papel vital. Se debe fomentar el uso de gestores de contraseñas seguros y evitar el almacenamiento de contraseñas en navegadores web, ya que esto puede facilitar el acceso de atacantes a cuentas sensibles. La reutilización de contraseñas entre distintos servicios debe eliminarse, pues puede permitir el movimiento lateral entre sistemas y aumentar el impacto de una violación de seguridad.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
ToddyCat | - |
hash | 1D2B32910B500368EF0933CDC43... |
hash | 5C2870F18E64A14A64ABF9A56F5... |
hash | AFEA0827779025C92CAB86F685D... |
hash | C7D8266C63F8AECA8D5F5BDCD43... |
hash | 750EF49AFB88DDD52F6B0C500BE... |
hash | 853A75364D76E9726474335BCD1... |
hash | BA3EF3D0947031FB9FFBC2401BA... |
ip | 103.27.202[.]85 |
ip | 118.193.40[.]42 |
url | Ha[.]bbmouseme[.]com |
url | hxxp://www.netportal.or[.]k... |
url | hxxp://www.netportal.or[.]k... |
url | hxxp://23.106.122[.]5/hamco... |
url | hxxps://etracking.nso.go[.]... |
url | hxxps://etracking.nso.go[.]... |