Οι hackers ToddyCat χρησιμοποιούν εξελιγμένα εργαλεία για κλοπή δεδομένων

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Οι hackers ToddyCat χρησιμοποιούν εξελιγμένα εργαλεία για κλοπή δεδομένων
https://www.secnews.gr/535507/hackers-toddycat-xrisimopoioun-ekseligmena-ergaleia-klopi-dedomenon/
Apr 23rd 2024, 12:41


Σύμφωνα με την Kaspersky, οι hackers ToddyCat χρησιμοποιούν διάφορα εργαλεία για να διατηρήσουν την πρόσβασή τους σε παραβιασμένα περιβάλλοντα και να κλέψουν πολύτιμα δεδομένα.







Οι ερευνητές λένε ότι οι hackers συλλέγουν δεδομένα σε "βιομηχανική κλίμακα" κυρίως από κυβερνητικούς οργανισμούς. Κάποιοι από αυτούς σχετίζονται με την άμυνα και βρίσκονται στην περιοχή Ασίας-Ειρηνικού.



"Για να συλλέξουν μεγάλους όγκους δεδομένων από πολλούς κεντρικούς υπολογιστές, οι ToddyCat hackers πρέπει να αυτοματοποιήσουν τη διαδικασία συλλογής δεδομένων όσο το δυνατόν περισσότερο και να παρέχουν διάφορα εναλλακτικά μέσα για συνεχή πρόσβαση και παρακολούθηση συστημάτων", είπαν οι ερευνητές ασφαλείας Andrey Gunkin, Alexander Fedotov και Natalya Shornikova.



Δείτε επίσης: Οι hackers APT28 εκμεταλλεύονται ευπάθεια Windows και χρησιμοποιούν το εργαλείο GooseEgg



Οι hackers ToddyCat εντοπίστηκαν για πρώτη φορά τον Ιούνιο του 2022 και συνδέθηκαν με επιθέσεις που στόχευαν κυβερνητικές και στρατιωτικές οντότητες στην Ευρώπη και την Ασία. Οι επιθέσεις είχαν ξεκινήσει τουλάχιστον από τον Δεκέμβριο του 2020. Σε αυτές τις επιθέσεις, χρησιμοποιούνταν ένα backdoor με το όνομα Samurai, που επέτρεπε την απομακρυσμένη πρόσβαση σε παραβιασμένους υπολογιστές.



Περαιτέρω έρευνα έδειξε ότι οι hackers ToddyCat χρησιμοποιούν και άλλα εργαλεία για κλοπή δεδομένων όπως το LoFiSe και το Pcexter που επιτρέπουν και τη μεταφόρτωση archive files στο Microsoft OneDrive.



Πρόσφατα, ανακαλύφθηκαν και άλλα εργαλεία που χρησιμοποιούν οι hackers και συνδυάζουν κλοπή δεδομένων και tunneling. Αυτά χρησιμοποιούνται αφού ο εισβολέας έχει ήδη αποκτήσει πρόσβαση σε λογαριασμούς χρηστών με υψηλά προνόμια, στο μολυσμένο σύστημα:




Reverse SSH tunnel χρησιμοποιώντας το OpenSSH




SoftEther VPN: μετονομάζεται σε φαινομενικά αβλαβή αρχεία όπως "boot.exe", "mstime.exe", "netscan.exe" και "kaspersky.exe"



Ngrok και Krong: για κρυπτογράφηση και ανακατεύθυνση του command-and-control (C2) traffic σε μια συγκεκριμένη θύρα στο σύστημα προορισμού



FRP client: open-source Golang-based fast reverse proxy



Cuthead: για αναζήτηση εγγράφων που ταιριάζουν με μια συγκεκριμένη επέκταση ή όνομα αρχείου ή ημερομηνία τροποποίησης



WAExp: ένα πρόγραμμα για τη λήψη δεδομένων που σχετίζονται με την εφαρμογή Ιστού WhatsApp



TomBerBil: για εξαγωγή cookies και credentials από προγράμματα περιήγησης ιστού όπως το Google Chrome και το Microsoft Edge

Η διατήρηση πολλαπλών ταυτόχρονων συνδέσεων μεταξύ μολυσμένων συστημάτων και υποδομών που ελέγχονται από τους επιτιθέμενους, με χρήση διαφορετικών εργαλείων, βοηθά στη διατήρηση της πρόσβασης σε περιπτώσεις όπου ανακαλύπτεται και καταργείται ένα από τα tunnels.



Δείτε επίσης: Οι hackers Sandworm στόχευσαν 20 εγκαταστάσεις κρίσιμων υποδομών στην Ουκρανία



"Οι επιτιθέμενοι χρησιμοποιούν τεχνικές για να παρακάμψουν τις άμυνες σε μια προσπάθεια να συγκαλύψουν την παρουσία τους στο σύστημα", είπε η Kaspersky.



"Για την προστασία της υποδομής του οργανισμού, συνιστούμε να προσθέσετε στο firewall denylist τους πόρους και τις διευθύνσεις IP των υπηρεσιών cloud που παρέχουν traffic tunneling. Επιπλέον, οι χρήστες πρέπει να υποχρεούνται να αποφεύγουν την αποθήκευση κωδικών πρόσβασης στα προγράμματα περιήγησής τους, καθώς βοηθά τους εισβολείς να έχουν πρόσβαση σε ευαίσθητες πληροφορίες", προσθέτει η εταιρεία.



Οι hackers ToddyCat χρησιμοποιούν εξελιγμένα εργαλεία για κλοπή δεδομένων




Προστασία από hacking επιθέσεις




Ένα από τα πιο αποτελεσματικά μέτρα ασφαλείας είναι η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό σας. Αυτό μπορεί να επιτευχθεί με τη χρήση ενός διαχειριστή κωδικών πρόσβασης.



Επιπλέον, η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων (2FA) μπορεί να προσφέρει επιπλέον επίπεδο ασφάλειας. Αυτό σημαίνει ότι θα χρειαστεί να επιβεβαιώσετε την ταυτότητά σας μέσω ενός δεύτερου μέσου, όπως ένα κινητό τηλέφωνο, πριν μπορέσετε να συνδεθείτε.



Δείτε επίσης: MITRE: Hackers παραβίασαν τα συστήματα μέσω ευπαθειών Ivanti



Η ενημέρωση του λογισμικού και του λειτουργικού συστήματος είναι ένα άλλο σημαντικό βήμα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από τις πιο πρόσφατες απειλές.



Η χρήση ενός αξιόπιστου προγράμματος antivirus είναι επίσης κρίσιμη. Θα σας βοηθήσει να εντοπίσετε και να απομακρύνετε τυχόν κακόβουλο λογισμικό που μπορεί να έχει εγκατασταθεί στη συσκευή σας.



Τέλος, είναι σημαντικό να είστε προσεκτικοί με τα δεδομένα που μοιράζεστε στο διαδίκτυο. Αποφύγετε την κοινοποίηση ευαίσθητων πληροφοριών, όπως οι τραπεζικές σας λεπτομέρειες, εκτός και αν είστε σίγουροι ότι η ιστοσελίδα είναι ασφαλής.



Πηγή: thehackernews.com




You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια