ນັກວິໄຈເປີດເຜີຍຊຸດເຄື່ອງມືໃໝ່ ຂອງກຸ່ມ ToddyCat ທີ່ໃຊ້ສຳລັບການລັກຂໍ້ມູນ

ກຸ່ມ APT ທີ່​ເປັນ​ທີ່​ຮູ້​ຈັກ​​ໃນ​ຊື່ ToddyCat ຖືກ​ຄາດ​ວ່າ​ມີ​ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັບ​ຊຸດ​ເຄື່ອງ​ມື​ໃໝ່ ​ທີ່​ຖືກ​ອອກ​ແບບ​ມາ​ເພື່ອ​ການ​ລັກ​ຂໍ້​ມູນ ຊຶ່ງ​ເຮັດໃຫ້​ນັກ​ວິໄ​ຈ​ສາມາດ​ເຂົ້າໃຈ​ຮູບ​ແບບ​ການ​ເຮັດ​ວຽກ ​ຂອງ​ກຸ່ມ​ແຮັກ​ເກີນີ້​ໄດ້​ດີ​ຂຶ້ນ

ການ​ຄົ້ນ​ພົບ​ຄັ້ງ​ນີ້ ​ມາ​ຈາກ Kaspersky ຊຶ່ງ​ເປັນ​ຜູ້​ທີ່​ເປີດ​ເຜີຍ​ຂໍ້​ມູນ​ ກ່ຽວກັບ​ກຸ່ມ​ແຮັກ​ເກີ​​ນີ້​ ເປັນ​ຄັ້ງທຳອິດ ​ໃນ​ປີ​ທີ່​ຜ່ານມາ ໂດຍ​ເຊື່ອມ​ໂຢງ​ກຸ່ມ​ນີ້​ ກັບ​ການ​ໂຈມ​ຕີ​ຕໍ່​ເປົ້າ​ໝາຍ​ທີ່​ມີ​ຊື່​ສຽງ​ໃນ​ຢຸ​ໂຣບ ​ແລະ ​ເອ​ເຊຍ​ ມາ​ເກືອບ​ສາມ​ປີ

ເຖິງວ່າ​ກຸ່ມ​ນີ້​ຈະ​ມີ​ເຄື່ອງ​ມື​ຫຼັກ​ເປັນ Ninja Trojan ແລະ Samurai backdoor ແຕ່​ຈາກ​ການ​ກວດ​ສອບ​ເພິ່ມເຕິມ​ພົ​ບວ່າ​ ກຸ່ມ​ນີ້​ໄດ້​ພັດທະນາ​ຊຸດ​ຊອບ​ແວ ທີ່​ເປັນ​ອັນຕະລາຍ​ໃໝ່​ທັງ​ໝົດ ເພື່ອ​ໃຫ້​ສາມາດ​ແຝງ​ຕົວ​ຢູ່​ເທິງ​ລະບົບ​ເປົ້າ​ໝາຍ, ດຳ​ເນີນ​ການ​ກັບ​ໄຟ​ລ​໌ ແລະ ​ດາວ​​ໂຫຼດ payload ເພິ່ມເຕິມ​ໃນ​ຂະນະ​ທຳການ​ໂຈມ​ຕີ​ໄດ້

ຊຸດ​ເຄື່ອງ​ມື​ນີ້​ປະກອບ​ດ້ວຍ Loader ທີ່​ສາມາດ​ໃຊ້​ໃນ​ການ​ຮຽກ​ໃຊ້​ງານ Ninja Trojan ເປັນ​ຂັ້ນ​ຕອນ​ທີ່​ສອງ, ເຄື່ອງ​ມື​ຊື່ LoFiSe ຊຶ່ງ​ໃຊ້​ໃນ​ການ​ຄົ້ນ​ຫາ ແລະ​ ລວບລວມ​ໄຟ​ລ​ ໌​ທີ່​ໜ້າ​ສົນ​ໃຈ, DropBox uploader ທີ່​ໃຊ້​ໃນ​ການ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ທີ່​ລັກ ​ມາ​ລົງ​ໃນ Dropbox ແລະ Pcexter ທີ່​ໃຊ້​ໃນ​ການ​ລັກ​ໄຟ​ລ​໌ archive ໄປ​ທີ່ Microsoft OneDrive

ນັກ​ວິ​ໄຈ​ຍັງ​ພ​ົບວ່າ​ ກຸ່ມ​ແຮັກ​ເກີ ToddyCat ໃຊ້​ສ​ະຄ​ຣິ​ບ ​ທີ່​ພັດທະນາ​ຂຶ້ນ​ເອງ ​ເພື່ອ​ລວບລວມ​ຂໍ້​ມູນ, ໃຊ້ Backdoor ແບບ passive ທີ່​ຮັບ​ຄຳ​ສັ່ງ​ດ້ວຍ​ແພັກ​ເກັດ UDP, Cobalt Strike ທີ່​ໃຊ້​ໃນ​ຂັ້ນ​ຕອນ​ຫຼັງ​ການ​ລັກ​ເພື່ອ​ສະແຫວ​ງ​ຫາ​ຜົນ​ປະໂຫຍດ​ເພິ່ມເຕິມ ແລະ ​ໃຊ້​ສິດ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເທິງ​ໂດ​ເມນ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ ເພື່ອ​ອຳ​ນວຍ​ຄວາມສະດວກ​ໃນ​ການ​ໂຈມ​ຕີ​ຕໍ່ໄປ​ທີ່​ເຄື່ອງ​ອື່ນໆ ເພື່ອ​ດຳ​ເນີນ​ການ​ໂຈມ​ຕີ​ຕໍ່ໄປ

Kaspersky ລະ​ບຸ​ວ່າ ຍັງ​ພົ​ບເຫັນ​ມີ​ການ​ໃຊ້​ສະ​ຄ​ຣິ​ບ​ຫຼາກ​ຫຼາຍ​ປະ​ເພດ ​ທີ່​ອອກ​ແບບ​ມາ​ໂດຍ​ສະເພາະ ​ເພື່ອ​ລວບລວມ​ຂໍ້​ມູນ ແລະ ​ຄັດ​ລອກ​ໄຟ​ລ​໌​ໄປ​ທີ່ໂຟນ​ເດີ​ສະເພາະ ແຕ່​ບໍ່​ໄດ້​ລວມ​ໄຟ​ລ​໌​ເຫຼົ່າ​ນັ້ນ​ໄວ້​ໃນ​ໄຟ​ລ​໌ archive

ກຸ່ມ​ແຮັກ​ເກີ​ໄດ້​ຣັນ​ສະ​ຄຣິບຈາກ​​ຈາກ​ພາຍນອກ ໂດຍ​ກຸ່ມ​ແຮັກ​ເກີ​ໄດ້​ໂອນ​ຍ້າຍ​ໄຟ​ລ ​໌​ທີ່​ລວບລວມ​ໄດ້​ຈາກ​ທີ່​ໜຶ່ງ​ໄປ​ຫາ​ອີກ​ທີ່ໜຶ່ງ​ ໂດຍ​ໃຊ້​ xcopy ຈາກ​ນັ້ນ​ຈຶ່ງ​ບີບ​ອັດ​ໄຟ​ລ​໌​ເຫຼົ່າ​ນັ້ນ​ໂດຍ​ໃຊ້​ 7z

ການ​ເປີດ​ເຜີຍ​ຂໍ້​ມູນ​ນີ້​ ເກີດ​ຂຶ້ນ​ຫຼັງ​ຈາກ​ທີ່ Check Point ເປີດ​ເຜີຍ​ວ່າ​ ຫນ່ວຍ​ງານ​ລັດຖະບານ ແລະ​ ໂທລະ​ຄົມມາ​ນາ​ຄົມ​ໃນ​ເອ​ເຊຍ​ ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ ​ຂອງ​ການ​ໂຈມ​ຕີ​ ທີ່​ກຳ​ລັງ​ດຳ​ເນີນ​ມາຕັ້ງ​ແຕ່​ປີ 2021 ໂດຍ​ໃຊ້​ມັນ​ແວ​ທີ່​ຫຼາກ​ຫຼາຍ ​ເພື່ອ​ຫຼີກ​ລ່ຽງ​ການ​ກວດ​ຈັບ ແລະ ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​​ອື່ນໆ

ໂດຍ Kaspersky ລະ​ບຸ​ວ່າ ​ພຶດຕິກຳ​ດັ່ງ​ກ່າວ​ ໃຊ້​ໂຄງ​ສ້າງ​ພື້ນ​ຖານ​ດຽວ​ກັນ​ກັບ​ທີ່ ToddyCat ໃຊ້

ທີ່​ມາ : thehackernews.com/2023/10/researchers-unveil-toddycats-new-set-of.html

627 Views