В последнее время эксперты по кибербезопасности Андрей Гунькин, Александр Федотов и Наталья Шорникова обнаружили новую тактику атак от зловещей группы хакеров ToddyCat. Эта группа, известная своими атаками на государственные учреждения Азиатско-Тихоокеанского региона, включая оборонные предприятия, на этот раз продемонстрировала умение длительно оставаться невидимой в системах своих жертв.
Одним из основных открытий исследования стало использование ToddyCat обратных SSH-туннелей для обеспечения скрытого доступа к компрометированным сетям. Этот метод позволяет хакерам не только беспрепятственно перемещаться по инфраструктуре зараженных организаций, но и делать это, не привлекая внимания.
Чтобы запустить такие туннели, атакующие мастерски используют законные программные инструменты и маскируют свою деятельность, размещая вредоносные файлы в казалось бы обычных системных папках. Например, хакеры используют SSH-клиенты, скрыто размещенные в системе, и хитроумно скрывают ключи доступа, делая их видимыми только для самой системы.
Интересно, что ToddyCat не стесняется оставлять эти инструменты на виду, размещая их в папках, названия которых напрямую указывают на SSH-клиенты. Однако ключи для подключения к удаленным серверам злоумышленники хранят в папке C:\Windows\AppReadiness, куда обычным пользователям доступ закрыт. Для еще большей секретности, они изменяют права доступа к этой папке, оставляя возможность просмотра только для системы.
ToddyCat продолжает удивлять своей изобретательностью в обходе защитных механизмов, напоминая о вечной гонке между хакерами и специалистами по кибербезопасности.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.