La Menace Persistante de ToddyCat
Le groupe de hackers russe connu sous le nom de ToddyCat s’est avéré particulièrement nuisible pour les institutions gouvernementales en Asie-Pacifique. Selon les analystes de la cybersécurité chez Kaspersky, cette entité malveillante utilise une multitude d’outils pour extraire des volumes importants de données à l’échelle industrielle. Depuis décembre 2020, leur approche automatisée permet une collecte massive de données à travers de multiples hôtes.
L’arsenal Sophistiqué de ToddyCat
Pour comprendre l’éventail des outils utilisés par ToddyCat, considérons une analogie avec une boîte à outils bien équipée pour le bricolage. Tout comme un bricoleur utilise différents outils pour diverses tâches, ToddyCat déploie des logiciels spécialisés pour s’infiltrer et maintenir l’accès dans les systèmes infectés. Ce sont entre autres le backdoor « Samurai », qui assure un accès discret à distance, et des logiciels tels que LoFiSe et Pcexter qui facilitent l’exfiltration de données.
Ces outils permettent également de rediriger discrètement le trafic de commande et de contrôle vers leurs serveurs via des tunnels SSH inversés, et VPN SoftEther déguisés sous des noms de fichiers innocents comme « boot.exe ».
Pour combattre de telles menaces, il est essentiel d’ajouter à la liste de blocage du pare-feu les adresses IP des services de tunnelisation de trafic et d’encourager les utilisateurs à ne pas enregistrer leurs mots de passe dans les navigateurs. Ces actions simples peuvent entraver significativement la capacité des attaquants à accéder aux informations sensibles.
