ToddyCat, un groupe APT sophistiqué qui s’est d’abord fait connaître en décembre 2020 suite à une série d’attaques très médiatisées contre des organisations en Europe et en Asie, est toujours actif aujourd’hui et plus redoutable que jamais. Les premières analyses de Kaspersky à son sujet se sont d’abord intéressées aux principaux outils utilisés dans les campagnes menées par ToddyCat, à savoir le cheval de Troie Ninja, la porte dérobée Samurai, et les loaders utilisés pour lancer ces charges utiles malveillantes. Depuis, les experts de Kaspersky ont créé des signatures spéciales pour surveiller les activités malveillantes du groupe. L’une de ces signatures a été détectée sur un système et les chercheurs ont entamé une nouvelle enquête qui a conduit à la découverte des nouveaux outils de ToddyCat.

Au cours de l’année écoulée, les chercheurs de Kaspersky ont découvert une nouvelle génération de loaders développés par ToddyCat, soulignant les efforts incessants du groupe pour affiner ses techniques d’attaque. Ces dispositifs jouent un rôle essentiel pendant la phase d’infection, en permettant le déploiement du cheval de Troie Ninja. Il est intéressant de noter que ToddyCat remplace parfois les loaders standards par une variante personnalisée, adaptée à des systèmes cibles spécifiques. Cette version personnalisée présente des fonctionnalités similaires mais se distingue par son schéma de chiffrement unique, qui prend en compte des attributs spécifiques au système tels que le modèle de disque et le GUID (identificateur global unique) du volume.

Pour maintenir une persistance à long terme sur les systèmes compromis, ToddyCat utilise diverses techniques, comme la création d’une clé de registre et d’un service correspondant. Cela permet de s’assurer que le code malveillant est chargé au démarrage du système, une tactique qui rappelle les méthodes utilisées par la porte dérobée Samurai exploitée par le groupe.

L’enquête de Kaspersky a permis de découvrir d’autres outils et composants utilisés par ToddyCat, notamment Ninja, un agent polyvalent doté de fonctions telles que la gestion des processus, le contrôle du système de fichiers, les sessions de reverse shell, l’injection de code et la transmission du trafic réseau. L’acteur de la menace utilise également LoFiSe pour trouver des fichiers spécifiques, DropBox Uploader pour télécharger des données vers Dropbox, Pcexter pour exfiltrer des fichiers d’archive vers OneDrive, une porte dérobée UDP passive pour la persistance, et CobaltStrike comme loader qui se connecte avec une URL spécifique, souvent avant le déploiement de Ninja. Ces éléments étudiés par Kaspersky témoignent de la variété d’outils dont dispose ToddyCat pour commettre ses attaques.

Ces récentes découvertes confirment que ToddyCat œuvre sans relâche à des fins de cyberespionnage. Le rapport explique comment le groupe infiltre les réseaux d’entreprise, effectue des déplacements latéraux et recueille des informations précieuses. ToddyCat utilise toute une série de tactiques, comprenant des phases de découverte, l’énumération de domaines et de déplacements latéraux, le tout dans le seul but de parvenir à leurs fins en termes d’espionnage.

« ToddyCat ne se contente pas de pénétrer dans les systèmes ; il met en place des opérations à long terme pour recueillir des informations précieuses sur une période prolongée, tout en s’adaptant en continu pour ne pas être détecté. Les organisations doivent reconnaître que le paysage des menaces a évolué : il ne s’agit plus seulement de se défendre, mais de faire preuve d’une vigilance et d’une adaptabilité permanentes. Pour rester en sécurité, il est essentiel d’investir dans des solutions de sécurité de premier ordre et d’avoir accès aux dernières découvertes en matière de renseignements sur les menaces », déclare Giampaolo Dedola, chercheur principal en sécurité chez GReAT.

Pour ne pas devenir victime d’une attaque ciblée organisée par un acteur connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence est un point d’accès unique pour les renseignements sur les menaces de l’entreprise. Il fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.

Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.

Pour la détection au niveau des terminaux, l’investigation et la réponse aux incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.

En plus d’une protection essentielle des terminaux il est indispensable de mettre en œuvre une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, telle que Kaspersky Anti Targeted Attack Platform.
De nombreuses attaques ciblées sont initiées par du phishing ou d’autres techniques d’ingénierie sociale, c’est pourquoi il est important de sensibiliser vos équipes à la sécurité et de leur enseigner des compétences pratiques. Par exemple, vous pouvez les former grâce à la plateforme Automated Security Awareness Platform de Kaspersky.