ToddyCat APT
A ToddyCat APT-t egy új rosszindulatú eszközkészlettel kapcsolták össze a Kaspersky kutatói, amit összefüggésbe hoztak az európai és ázsiai nagy horderejű entitások elleni közel három éven át tartó támadásokkal.
A korábban is ismert Ninja Trojan és a Samurai back door-ok, után egy teljesen új rosszindulatú szoftverkészletet tártak fel, amelyet a folyamatosan hangolnak, fejlesztenek a célpontosnak megfelelően a jelenlét fenntartása, a fájlműveletek végrehajtása és a futás közbeni további eszközök betöltése érdekében.
Az eszközök között szerepelnek a betöltők, amelyek képesek a Ninja Trojan elindítására, egy LoFiSe nevű eszköz az érdeklődésre számot tartó fájlok megkeresésére és összegyűjtésére, egy DropBox feltöltőt, amely elmenti az ellopott adatokat a Dropboxba, és a Pcextert, amellyel az archív fájlokat is ellopja a Microsoft meghajtókról.
A ToddyCat egyedi szkripteket használ az adatgyűjtéshez, egy passzív hátsó ajtót, amely UDP-csomagokkal együtt fogadja a parancsokat, a Cobalt Strike-ot az utólagos kizsákmányoláshoz, valamint a tartományi adminisztrátori hitelesítő adatait, amelyek megkönnyítik az oldalirányú mozgást a kémtevékenységek folytatásához.
A Kaspersky megosztotta az azonosításhoz szükséges mutatókat.