ToddyCat APT hálózata
A ToddyCat egy APT-csoport, amely elsősorban az ázsiai-csendes-óceáni térségben található kormányzati szervezeteket veszi célba, amelyek közül néhány védelmi vonatkozású. A csoport egyik fő célja, hogy érzékeny információkat lopjon el a hosztokról.
A megfigyelési időszak alatt a Kaspersky kutatói megfigyelték, hogy ez a csoport ipari méretű adatlopást hajtott végre. Ahhoz, hogy nagy mennyiségű adatot gyűjtsenek sok állomásról, a támadóknak a lehető legnagyobb mértékben automatizálniuk kell az adatgyűjtési folyamatot, és több alternatív eszközt kell biztosítaniuk az általuk támadott rendszerek folyamatos eléréséhez és megfigyeléséhez. Úgy döntöttünk, hogy megvizsgáljuk, hogyan valósította meg ezt a ToddyCat. A cikkben leírt összes eszközt abban a szakaszban alkalmazzák, amikor a támadók veszélyeztetik a magas privilégiumú felhasználói hitelesítő adatokat, amelyek lehetővé teszik számukra a távoli hosztokhoz való csatlakozást. A legtöbb esetben a támadó a PsExec vagy az Impacket segítségével csatlakozott, továbbította és futtatta az összes szükséges eszközt.