ກຸ່ມ APT ທີ່ເປັນທີ່ຮູ້ຈັກໃນຊື່ ToddyCat ຖືກຄາດວ່າມີຄວາມກ່ຽວຂ້ອງກັບຊຸດເຄື່ອງມືໃໝ່ ທີ່ຖືກອອກແບບມາເພື່ອການລັກຂໍ້ມູນ ຊຶ່ງເຮັດໃຫ້ນັກວິໄຈສາມາດເຂົ້າໃຈຮູບແບບການເຮັດວຽກ ຂອງກຸ່ມແຮັກເກີນີ້ໄດ້ດີຂຶ້ນ
ການຄົ້ນພົບຄັ້ງນີ້ ມາຈາກ Kaspersky ຊຶ່ງເປັນຜູ້ທີ່ເປີດເຜີຍຂໍ້ມູນ ກ່ຽວກັບກຸ່ມແຮັກເກີນີ້ ເປັນຄັ້ງທຳອິດ ໃນປີທີ່ຜ່ານມາ ໂດຍເຊື່ອມໂຢງກຸ່ມນີ້ ກັບການໂຈມຕີຕໍ່ເປົ້າໝາຍທີ່ມີຊື່ສຽງໃນຢຸໂຣບ ແລະ ເອເຊຍ ມາເກືອບສາມປີ
ເຖິງວ່າກຸ່ມນີ້ຈະມີເຄື່ອງມືຫຼັກເປັນ Ninja Trojan ແລະ Samurai backdoor ແຕ່ຈາກການກວດສອບເພິ່ມເຕິມພົບວ່າ ກຸ່ມນີ້ໄດ້ພັດທະນາຊຸດຊອບແວ ທີ່ເປັນອັນຕະລາຍໃໝ່ທັງໝົດ ເພື່ອໃຫ້ສາມາດແຝງຕົວຢູ່ເທິງລະບົບເປົ້າໝາຍ, ດຳເນີນການກັບໄຟລ໌ ແລະ ດາວໂຫຼດ payload ເພິ່ມເຕິມໃນຂະນະທຳການໂຈມຕີໄດ້
ຊຸດເຄື່ອງມືນີ້ປະກອບດ້ວຍ Loader ທີ່ສາມາດໃຊ້ໃນການຮຽກໃຊ້ງານ Ninja Trojan ເປັນຂັ້ນຕອນທີ່ສອງ, ເຄື່ອງມືຊື່ LoFiSe ຊຶ່ງໃຊ້ໃນການຄົ້ນຫາ ແລະ ລວບລວມໄຟລ ໌ທີ່ໜ້າສົນໃຈ, DropBox uploader ທີ່ໃຊ້ໃນການບັນທຶກຂໍ້ມູນທີ່ລັກ ມາລົງໃນ Dropbox ແລະ Pcexter ທີ່ໃຊ້ໃນການລັກໄຟລ໌ archive ໄປທີ່ Microsoft OneDrive
ນັກວິໄຈຍັງພົບວ່າ ກຸ່ມແຮັກເກີ ToddyCat ໃຊ້ສະຄຣິບ ທີ່ພັດທະນາຂຶ້ນເອງ ເພື່ອລວບລວມຂໍ້ມູນ, ໃຊ້ Backdoor ແບບ passive ທີ່ຮັບຄຳສັ່ງດ້ວຍແພັກເກັດ UDP, Cobalt Strike ທີ່ໃຊ້ໃນຂັ້ນຕອນຫຼັງການລັກເພື່ອສະແຫວງຫາຜົນປະໂຫຍດເພິ່ມເຕິມ ແລະ ໃຊ້ສິດຜູ້ເບິ່ງແຍງລະບົບເທິງໂດເມນທີ່ຖືກໂຈມຕີ ເພື່ອອຳນວຍຄວາມສະດວກໃນການໂຈມຕີຕໍ່ໄປທີ່ເຄື່ອງອື່ນໆ ເພື່ອດຳເນີນການໂຈມຕີຕໍ່ໄປ
Kaspersky ລະບຸວ່າ ຍັງພົບເຫັນມີການໃຊ້ສະຄຣິບຫຼາກຫຼາຍປະເພດ ທີ່ອອກແບບມາໂດຍສະເພາະ ເພື່ອລວບລວມຂໍ້ມູນ ແລະ ຄັດລອກໄຟລ໌ໄປທີ່ໂຟນເດີສະເພາະ ແຕ່ບໍ່ໄດ້ລວມໄຟລ໌ເຫຼົ່ານັ້ນໄວ້ໃນໄຟລ໌ archive
ກຸ່ມແຮັກເກີໄດ້ຣັນສະຄຣິບຈາກຈາກພາຍນອກ ໂດຍກຸ່ມແຮັກເກີໄດ້ໂອນຍ້າຍໄຟລ ໌ທີ່ລວບລວມໄດ້ຈາກທີ່ໜຶ່ງໄປຫາອີກທີ່ໜຶ່ງ ໂດຍໃຊ້ xcopy ຈາກນັ້ນຈຶ່ງບີບອັດໄຟລ໌ເຫຼົ່ານັ້ນໂດຍໃຊ້ 7z
ການເປີດເຜີຍຂໍ້ມູນນີ້ ເກີດຂຶ້ນຫຼັງຈາກທີ່ Check Point ເປີດເຜີຍວ່າ ຫນ່ວຍງານລັດຖະບານ ແລະ ໂທລະຄົມມານາຄົມໃນເອເຊຍ ຕົກເປັນເປົ້າໝາຍ ຂອງການໂຈມຕີ ທີ່ກຳລັງດຳເນີນມາຕັ້ງແຕ່ປີ 2021 ໂດຍໃຊ້ມັນແວທີ່ຫຼາກຫຼາຍ ເພື່ອຫຼີກລ່ຽງການກວດຈັບ ແລະ ຕິດຕັ້ງມັນແວອື່ນໆ
ໂດຍ Kaspersky ລະບຸວ່າ ພຶດຕິກຳດັ່ງກ່າວ ໃຊ້ໂຄງສ້າງພື້ນຖານດຽວກັນກັບທີ່ ToddyCat ໃຊ້
ທີ່ມາ : thehackernews.com/2023/10/researchers-unveil-toddycats-new-set-of.html
