Новият ToddyCat APT е насочен към Exchange сървъри

Изследователите са идентифицирали сравнително нова APT група, която е насочена към организации в цяла Азия и Източна Европа, като често е насочена към сървъри на Microsoft Exchange и използва персонализирани бекдори и инструменти след експлоатация, за да остане постоянна и да събира чувствителни данни.

Групата е активна най-малко от декември 2020 г., но кампаниите й се засилиха и се развиха през последните месеци. Изследователи от Kaspersky нарекоха групата ToddyCat и казаха, че екипът използва поне две персонализирани части от зловреден софтуер, известни съответно като Samurai и Ninja. Samurai, който е бекдор, беше използван при първата вълна от атаки срещу Exchange сървъри и позволява отдалечено администриране на компрометирани сървъри, както и изпълнение на код. Самурай понякога се използва за инсталиране на зловреден софтуер Ninja като следващ етап от проникването.

„Въз основа на кодовата логика изглежда, че Ninja е инструмент за сътрудничество, който позволява на няколко оператора да работят на една и съща машина едновременно. Той предоставя голям набор от команди, които позволяват на нападателите да контролират отдалечени системи, да избягват откриването и да проникнат дълбоко в целевата мрежа. Някои възможности са подобни на тези, предоставени в други прословути комплекти от инструменти след експлоатация“, Анализ на Касперски казва.

„Например, Ninja има функция като централни слушатели на Cobalt Strike, която може да ограничи броя на директните връзки от целевата мрежа към отдалечената C2 и системите за управление без достъп до интернет. Той също така предоставя възможност за контролиране на HTTP индикатори и прикриване на злонамерен трафик в HTTP заявки, които изглеждат легитимни чрез промяна на HTTP заглавката и URL пътеките. Тази функция предоставя функционалност, която ни напомня за профила на Cobalt Strike Malleable C2.

Първоначалният вектор на инфекция, който ToddyCat използва, не е ясен, въпреки че Kasperksy каза, че групата използва неизвестен експлойт срещу сървърите на Exchange, но по-късно премина към използване на грешката ProxyLogon. Първият етап от проникването използва капкомер за зареждане на самурайската задна врата. Има също DLL зареждане и .NET зареждане. Но крайната цел е да поставите Samurai backdoor на сървъра. Samurai има редица отделни модули, които могат да се зареждат при необходимост, включително един, който ексфилтрира данни, друг, който изпълнява отдалечено изпълнение на команди, и друг, който изброява всички файлове в определен път.

„Наблюдавахме три различни организации с висок профил, компрометирани през подобен период от време от ToddyCat и друга китайско-говоряща APT група.“

„Трудното администриране на бекдора на Samurai, използващ аргументи в тази структура, предполага, че бекдорът на Samurai е компонентът от страна на сървъра на по-голямо решение, което включва поне друг клиентски компонент, осигуряващ интерфейс за оператори, който може да се използва за автоматично качване на някои предварително дефинирани модули “, се казва в анализа.

„Допълнителни доказателства, които засилват тази хипотеза, са свързани с прокси модулите, две различни C# програми, разработени за препращане на TCP пакети до произволни хостове. Нападателят използва тези модули, за да стартира връзка между работещ екземпляр на Samurai backdoor и отдалечен хост и препраща пакетите, използвайки бекдора като прокси. Вероятно се използва за странично движение в компрометираната мрежа.

Групата ToddyCat е насочена към организации в много азиатски страни, включително Тайван и Виетнам, както и цели в Индия, Иран, Афганистан, Русия и Обединеното кралство. наред с други. Kaspersky не приписва дейността на ToddyCat на известни участници, но каза, че има известно припокриване с дейностите на други групи.

„По време на нашите разследвания забелязахме, че жертвите на ToddyCat са свързани със страни и сектори, обикновено насочени от множество китайскоговорещи групи. Всъщност наблюдавахме три различни организации с висок профил, компрометирани през подобен период от време от ToddyCat и друга китайско-говоряща APT група, която използваше бекдора на FunnyDream “, се казва в анализа.

„Това припокриване привлече вниманието ни, тъй като клъстерът от злонамерен софтуер ToddyCat рядко се вижда според нашата телеметрия; и наблюдавахме едни и същи цели, компрометирани от двете APT в три различни държави.

Жертвите на ToddyCat са високопоставени правителствени и военни организации, които обикновено са в целевия списък за много APT групи.

Leave a Comment