ISACA APT01
Les chercheurs en cybersécurité de Kaspersky ont découvert des évolutions significatives dans les activités du groupe ToddyCat Advanced Persistent Threat (APT), mettant en lumière l’évolution des stratégies qu’il déploie et présentant un nouvel ensemble de loaders destinés à faciliter leurs opérations malveillantes. En outre, l’enquête a permis de découvrir une nouvelle série de logiciels malveillants distribués par ToddyCat, que l’acteur de la menace utilise pour collecter des fichiers d’intérêt qu’il exfiltre par la suite sur des plateformes d’hébergement de fichiers publics et légitimes. Ces découvertes dévoilent le poids croissant du cyber-espionnage dans le paysage des menaces, et la capacité d’adaptation des groupes APT pour échapper à la détection.
Tribune – ToddyCat, un groupe APT sophistiqué qui s’est d’abord fait connaître en décembre 2020 suite à une série d’attaques très médiatisées contre des organisations en Europe et en Asie, est toujours actif aujourd’hui et plus redoutable que jamais. Les premières analyses de Kaspersky à son sujet se sont d’abord intéressées aux principaux outils utilisés dans les campagnes menées par ToddyCat, à savoir le cheval de Troie Ninja, la porte dérobée Samurai, et les loaders utilisés pour lancer ces charges utiles malveillantes. Depuis, les experts de Kaspersky ont créé des signatures spéciales pour surveiller les activités malveillantes du groupe. L’une de ces signatures a été détectée sur un système et les chercheurs ont entamé une nouvelle enquête qui a conduit à la découverte des nouveaux outils de ToddyCat.
Au cours de l’année écoulée, les chercheurs de Kaspersky ont découvert une nouvelle génération de loaders développés par ToddyCat, soulignant les efforts incessants du groupe pour affiner ses techniques d’attaque. Ces dispositifs jouent un rôle essentiel pendant la phase d’infection, en permettant le déploiement du cheval de Troie Ninja. Il est intéressant de noter que ToddyCat remplace parfois les loaders standards par une variante personnalisée, adaptée à des systèmes cibles spécifiques. Cette version personnalisée présente des fonctionnalités similaires mais se distingue par son schéma de chiffrement unique, qui prend en compte des attributs spécifiques au système tels que le modèle de disque et le GUID (identificateur global unique) du volume.
Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…
Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…
La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…
L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…
Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…
Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…
This website uses cookies.