研究人员推出ToddyCat的一套新的数据泄露工具

被称为ToddyCat的高级持续性威胁（APT）参与者已与一组新的恶意工具相关联，这些工具旨在用于数据泄露，从而更深入地了解黑客团队的战术和能力。

这些发现来自卡巴斯基，卡巴斯基去年首次揭示了对手，将其与近三年来针对欧洲和亚洲知名实体的攻击联系起来。

虽然该组织的武器库突出了Ninja特洛伊木马和一个名为Samurai的后门，但进一步的调查发现了一套全新的恶意软件，由该行为者开发和维护，以实现持久性，进行文件操作，并在运行时加载额外的有效载荷。

这包括一系列加载器，这些加载器具有启动Ninja特洛伊木马作为第二阶段的功能，一个名为LoFiSe的工具用于查找和收集感兴趣的文件，一个Dropbox上传器用于保存被盗数据到Dropbox，以及Pcexter用于将归档文件导出到Microsoft OneDrive。

ToddyCat还被观察到利用自定义脚本进行数据收集，使用UDP数据包接收命令的被动后门，Cobalt Strike用于后期开发，以及受损的域管理员凭据以促进横向移动以进行间谍活动。
卡巴斯基说：“我们观察到的脚本变体只是为了收集数据和将文件复制到特定的文件夹，但没有将它们包含在压缩档案中。”

在这些情况下，执行元使用标准远程任务执行技术在远程主机上执行脚本。然后使用xcopy实用程序将收集的文件手动传输到exfiltration主机，最后使用7z二进制文件进行压缩。“

Check Point透露，自2021年以来，亚洲的政府和电信实体一直是一项持续活动的目标，该活动使用各种“一次性”恶意软件来逃避检测并提供下一阶段的恶意软件。

根据网络安全公司的说法，这项活动依赖于与ToddyCat使用的基础设施重叠的基础设施。