Last Updated on 2024-10-01 06:32 by admin
ToddyCatは、アジア太平洋地域の政府機関を主なターゲットとするAPTグループであり、ホストから機密情報を盗むことを目的としている。このグループは、自動化されたデータ収集ツールを使用して大量のデータを収集している。
ToddyCatは、逆SSHトンネル、SoftEther VPN、ngrokエージェント、Krongなどのツールを使用して、感染したインフラストラクチャへのアクセスを維持するためのトラフィックトンネリングを行っている。
データ収集のため、ToddyCatはCuthead、WAExp、TomBerBilといったツールを使用している。Cutheadは指定されたファイル拡張子やキーワードを検索し、見つかったファイルをアーカイブに保存する。WAExpはWhatsAppのWebバージョンからデータを収集し、TomBerBilはブラウザからクッキーやパスワードを抽出する。
対策として、クラウドサービスを使用したトラフィックトンネリングを防ぐためにファイアウォールの拒否リストに関連するリソースとIPアドレスを追加すること、リモートホストへのアクセスに使用できるツールの範囲を制限すること、そしてユーザーにはブラウザにパスワードを保存しないようにし、パスワードの再利用を避けるようにすることが推奨される。
【ニュース解説】
ToddyCatとは、アジア太平洋地域に位置する政府機関を主に狙うAPT(Advanced Persistent Threat:高度持続的脅威)グループです。このグループの主な目的は、ターゲットとなるホストからの機密情報の窃取にあります。彼らは、感染したインフラストラクチャへのアクセスを維持し、大量のデータを自動的に収集するために、複数の高度なツールを駆使しています。
具体的には、ToddyCatは逆SSHトンネル、SoftEther VPN、ngrokエージェント、Krongといったトラフィックトンネリングツールを利用して、一度侵入したインフラストラクチャ内での自由な移動と、外部からのアクセスを確保しています。これにより、彼らは検出されるリスクを最小限に抑えつつ、長期間にわたってターゲットのシステム内に潜伏することが可能になります。
データ収集に関しては、Cuthead、WAExp、TomBerBilというツールが使用されています。Cutheadは特定のファイル拡張子やキーワードに基づいてファイルを検索し、アーカイブに保存する機能を持ちます。WAExpはWhatsAppのWeb版からデータを収集するためのツールで、ユーザーのプロファイル詳細やチャットデータなどを盗み出します。TomBerBilはブラウザからクッキーやパスワードを抽出することで、オンラインサービスへのアクセス情報を窃取します。
これらの攻撃を防ぐためには、トラフィックトンネリングを提供するクラウドサービスのリソースとIPアドレスをファイアウォールの拒否リストに追加すること、リモートホストへのアクセスに使用されるツールの範囲を制限し、使用されないツールは監視下に置くか禁止することが重要です。また、ユーザーに対しては、ブラウザにパスワードを保存しないよう指導し、異なるサービス間でパスワードを再利用しないよう促すことが推奨されます。
このような対策を講じることで、ToddyCatのようなAPTグループによる侵入とデータ窃取のリスクを低減させることが可能です。しかし、これらのグループは常に新しい手法を開発しているため、セキュリティ対策も進化し続ける必要があります。