Giampaolo Dedola Relatore

Lista Talk

• From Infection to Exfiltration: A Deep Dive into ToddyCat's Intrusion Techniques ToddyCat è un attore APT che ho identificato nel 2021 e che si è reso responsabile di diversi attacchi, rilevati a partire da Dicembre 2020, contro entità di alto profilo in Europa e Asia. I suoi target sono principalmente entità governative e militari di vari paesi. I dati ad oggi disponibili mostrano che il gruppo predilige target nel sud-est asiatico, ma estende le sue attività anche nel resto dell’Asia e dell’Europa. Inizialmente, le informazioni a disposizione su questo gruppo erano alquanto limitate e sono state riportate in un’analisi pubblicata da Kaspersky nel 20211 in cui veniva descritto il gruppo ToddyCat ed in particolare i principali malware da loro sviluppati: un ampio set di loader e dropper utilizzato per caricare i malware principali, Samurai, una backdoor passiva utilizzata principalmente su server Microsoft Exchange e Ninja, un avanzato strumento di post-exploitation che solitamente è possibile rilevare solo in memoria. Sfortunatamente la ricerca copriva soltanto le prime fasi della catena di attacco ed in particolare mostrava come l’attaccante infettava i target e come poi manteneva la persistenza sul sistema colpito. Le conoscenze sulle TTP del gruppo erano limitate e non si aveva visibilità su quel che accadeva successivamente all’infezione iniziale. In questa presentazione vorrei fornire una breve introduzione del gruppo e delle precedenti scoperte, in modo da permettere una miglior comprensione del resto dei contenuti. Andrò poi a descrivere le ultime scoperte effettuate durante l’analisi di una nuova campagna di attacchi lanciata dall’attore durante il 2022 e 2023 contro entità militari e governative in Tailandia, Malesia, Taiwan e Pakistan. Nello specifico descriverò i nuovi strumenti utilizzati dall’attaccante e descriverò la completa catena di attacco utilizzata dal gruppo, la quale in passato era rimasta oscura. Durante l’ultimo anno, ToddyCat ha sostituito buona parte dei propri loader e dropper, presumibilmente nella speranza di poter scomparire nuovamente evitando i rilevamenti e continuare indisturbato le proprie operazioni. Le recenti scoperte hanno permesso di ottenere informazioni su tutti gli step dell’attacco e comprendere quindi come ToddyCat lavora all’interno delle reti prese di mira ed in particolare che strumenti e tecniche utilizzano per i movimenti laterali, per rubare dati sensibili e come esfiltrano le informazioni utilizzando servizi leciti di terze parti. Il nuovo toolset consiste in diversi loader utilizzati per caricare codice in memoria ed altri malware privati come LoFiSe e PcExter, utilizzati per collezionare informazioni, rubare ed esfiltrare file. Include inoltre una nuova variante dello strumento di post-exploitation “Ninja”. Inoltre, descriverò come l’attaccante abbia tentato di evadere i rilevamenti e complicare le attività di analisi utilizzando diversi trucchi, quali ad esempio, l’uso di componenti di loading create su misura per target specifici. L’obiettivo della presentazione è mostrare le caratteristiche ed il modus operandi di un attore APT che dimostra una elevata qualità tecnica ed il come riesce ad effettuare attacchi contro obiettivi di alto livello passando quasi del tutto inosservato. I dettagli relativi alle recenti scoperte sono stati descritti in un articolo pubblicato su securelist.com in data 12 Ottobre 20232. 1 https://securelist.com/toddycat/106799/ 2 https://securelist.com/toddycat-keep-calm-and-check-logs/110696/ - 11:30/12:15, 18 Nov 2023