その後のToddyCat

ToddyCatは以前から注意して観測が継続されていた脅威アクターです。
このグループは2020年12月に活動を開始し、ヨーロッパとアジアの著名な組織に対して複数の攻撃を実施してきています。
そして活動の中で動きが少しずつ変化してきています。
現在のToddyCatの活動を構成する要素を見てみましょう。

• Standard loaders
  なんらかのexeファイルにサイドロードさせる形式で作られたローダーです。
  3つの亜種の利用が確認されています。
  いずれも次の段階のデータを読み込み、それを復号化して使用します。
  復号化は基本的にはXORなのですが、静的シードを使用する、シャッフル操作と追加操作を行う、などの工程を追加しており、より複雑な暗号化がされた状態となっています。
  より解析耐性の高いものになっていると思われます。
• Tailored loader
  特定のターゲット向けに読み込むデータを格納したファイルの名称を調整したバージョンのローダーが確認されています。
  基本的な動作はStandard loadersと同じですが、ファイルの名の調整によって、より通常の脅威でないものに見えるための工夫がされたものといえます。
• Ninja agent
  マルウェアの悪意ある活動のための機能を持つ部分のモジュールです。
  これは当初から使用が観測されています。
  Ninjaは、プロセス列挙機能、ファイルシステム管理機能、リバースシェル機能、任意のプロセスへのコード挿入機能、プラグイン機能、C2との通信機能、などの機能を有します。
  この部分の機能性は昨年観測されていた当時と変化がないのですが、変わっている部分もあります。
  このモジュールの使用する設定値が従来はXORで暗号化されて保持されていたのですが、それが最近ではNOTバイナリ演算が使われています。
• LoFiSe
  これは対象のシステム上で目的のファイルを検索して収集するように設計されたコンポーネントです。
  システム内のすべてのドライブの変化を監視し、目的の拡張子を持つドキュメントファイルが保存されたことを検出するとそれを捕捉します。
  確認した新しいものかもしれないファイルはそのMD5を取得し、従来収集済みのものに同じものがない場合は取得リストに追加します。
  重複取得することを回避する機構を搭載しています。
• DropBox uploader
  このツールは名前の通りDropBoxアップローダーです。
  DropBoxユーザーアクセストークンを引数として受けとり、作業ディレクトリにあるアーカイブファイルをアップロードします。
• Pcexter
  こちらもアップローダーです。
  このツールのアップロード先はMicrosoft OneDriveです。

以前の活動の際と比較すると使用するツールに変化があることがわかります。
これらのほかにも、Passive UDP backdoorやCobaltStrikeも使用します。

感染後に侵入先ネットワークで蔓延する動きをするのですが、その際に使用する認証情報を時間の経過とともに循環させるように工夫していることも確認されています。
彼らの実施するスパイ活動が検出されにくくする工夫がいくつも実装されているといえそうです。

継続して注意することが必要な脅威アクターがいくつもありますが、ToddyCatもその一つです。

参考記事（外部リンク）：ToddyCat: Keep calm and check logs
securelist.com/toddycat-keep-calm-and-check-logs/110696/