Le minacce persistenti avanzate (APT) cinesi sono note per la loro sofisticatezza, ma il gruppo “ToddyCat” sta andando controcorrente, compromettendo le organizzazioni di telecomunicazioni in Asia centrale e sud-orientale utilizzando un arsenale in continua evoluzione di backdoor e loader personalizzati, ma molto semplici.
Storia e operazioni di ToddyCat
ToddyCat è stato scoperto per la prima volta l’anno scorso, anche se è operativo almeno dal 2020. Secondo Check Point, è stato precedentemente associato alle operazioni di spionaggio cinese. Le vittime della sua più recente campagna “Stayin’ Alive”, attiva almeno dal 2021, includono telco del Kazakistan, Pakistan, Uzbekistan e Vietnam. L’entità precisa della loro portata e se abbiano causato danni rimane ancora sconosciuta.
Tattiche recenti di ToddyCat
Gli attacchi “Stayin’ Alive” iniziano con email di spear phishing contenenti file di archivio. Una volta eseguiti, questi file sono progettati per sfruttare la vulnerabilità CVE-2022-23748, una vulnerabilità di sideloading DLL di “alta” criticità nel software Dante AV. ToddyCat utilizza questo sideloading DLL, una tecnica popolare, in particolare tra gli attori delle minacce cinesi, per rilasciare loader e downloader sui dispositivi bersaglio. Questi loader e downloader hanno una funzionalità di base, ma sono sufficienti per raggiungere obiettivi iniziali, come consentire all’attaccante di ottenere rapporti di base sulle macchine infettate.
Un uso intelligente di malware semplici
Sebbene all’inizio possa sembrare negligente o inefficace, c’è una logica nell’uso di tali strumenti di base invece di armi cibernetiche più sofisticate e multifunzionali. “Più piccolo è lo strumento, più difficile è rilevarlo”, spiega Sergey Shykevich di Check Point. Inoltre, quando si tratta di uno strumento piccolo, è relativamente facile adattarlo a un obiettivo. Tuttavia, ToddyCat è contraddistinto dal fatto che ogni campione risale alla sua facilmente identificabile infrastruttura di comando e controllo (C2).
Difesa contro un attaccante agile
Per difendersi da un attaccante così agile, Shykevich raccomanda un approccio stratificato. Suggerisce una protezione e-mail adeguata per identificare un allegato dannoso e l’uso di endpoint di rilevamento e risposta (EDR) per identificare, ad esempio, il sideloading DLL e l’attività di shell dannosa.