Logo Zephyrnet

APT ToddyCat độc quyền nhắm mục tiêu Máy chủ Microsoft Exchange

Ngày:

Tác nhân đe dọa nhắm vào các tổ chức và công ty ở châu Âu và châu Á.

Một nhóm mối đe dọa dai dẳng nâng cao (APT), có tên là ToddyCat, được cho là đứng sau một loạt các cuộc tấn công nhắm vào các máy chủ Microsoft Exchange của các cơ sở chính phủ và quân đội cấp cao ở châu Á và châu Âu. Theo các nhà nghiên cứu, các chiến dịch bắt đầu vào tháng 2020 năm XNUMX và hầu như chưa được hiểu rõ về độ phức tạp của chúng cho đến nay.

Nhà nghiên cứu bảo mật Giampaolo Dedola tại Kaspersky viết: “Làn sóng tấn công đầu tiên nhắm mục tiêu độc quyền vào Máy chủ Microsoft Exchange, đã bị xâm nhập với Samurai, một cửa hậu thụ động tinh vi thường hoạt động trên các cổng 80 và 443., trong một báo cáo phác thảo APT.

Các nhà nghiên cứu cho biết ToddyCat a là APT tương đối mới và “có rất ít thông tin về tác nhân này”.

APT tận dụng hai backdoor thụ động trong môi trường Exchange Server với phần mềm độc hại có tên là Samurai và Ninja, mà các nhà nghiên cứu cho biết được kẻ thù sử dụng để kiểm soát hoàn toàn phần cứng và mạng của nạn nhân.

Phần mềm độc hại Samurai là một phần của chuỗi lây nhiễm nhiều giai đoạn được khởi xướng bởi China Chopper và dựa trên web shell Kaspersky báo cáo sẽ giảm khai thác trên máy chủ trao đổi đã chọn ở Đài Loan và Việt Nam từ tháng 2020 năm XNUMX.

Các nhà nghiên cứu tuyên bố rằng phần mềm độc hại này "thực thi mã C # tùy ý và được sử dụng với nhiều mô-đun cho phép kẻ tấn công quản lý hệ thống từ xa và di chuyển theo chiều bên trong mạng được nhắm mục tiêu." Trong một số trường hợp, họ cho biết, cửa hậu của Samurai đặt đường dẫn để khởi chạy một chương trình độc hại khác có tên là Ninja.

Các khía cạnh về các hoạt động đe dọa của ToddyCat cũng được theo dõi bởi công ty an ninh mạng ESET, được gọi là "cụm hoạt động" được nhìn thấy trong tự nhiên là Websiic. Trong khi đó, các nhà nghiên cứu tại GTSC đã xác định được một phần khác của các kỹ thuật và vectơ lây nhiễm của nhóm trong một báo cáo phác thảo việc phân phối mã nhỏ giọt của phần mềm độc hại.

"Điều đó nói rằng, theo như chúng tôi biết, không có tài khoản công khai nào mô tả việc nhìn thấy toàn bộ chuỗi lây nhiễm hoặc các giai đoạn sau của phần mềm độc hại được triển khai như một phần hoạt động của nhóm này", Kaspersky viết.

Nhiều chuỗi tấn công vào máy chủ Exchange trong nhiều năm

Trong khoảng thời gian từ tháng 2020 năm 2021 đến tháng XNUMX năm XNUMX, làn sóng tấn công đầu tiên đã được thực hiện nhằm vào số lượng máy chủ hạn chế ở Đài Loan và Việt Nam.

Trong giai đoạn tiếp theo, giữa tháng 2021 năm 2021 và tháng XNUMX năm XNUMX, các nhà nghiên cứu đã quan sát thấy sự gia tăng đột ngột của các cuộc tấn công. Họ nói rằng đó là khi kẻ đe dọa bắt đầu lạm dụng Đăng nhập proxy tính dễ bị tổn thương đối với các tổ chức mục tiêu ở nhiều quốc gia bao gồm Iran, Ấn Độ, Malaysia, Slovakia, Nga và Vương quốc Anh.

Sau tháng 2021 năm XNUMX, các nhà nghiên cứu đã quan sát các thuộc tính được liên kết với cùng một nhóm nhắm mục tiêu đến các quốc gia đã đề cập trước đó cũng như các tổ chức quân sự và chính phủ có trụ sở tại Indonesia, Uzbekistan và Kyrgyzstan. Bề mặt tấn công trong làn sóng thứ ba được mở rộng sang các hệ thống máy tính để bàn trong khi trước đây phạm vi chỉ giới hạn ở Máy chủ Microsoft Exchange.

Trình tự tấn công

Chuỗi tấn công được bắt đầu sau khi triển khai trình tự tấn công web shell Chopper của Trung Quốc, cho phép ống nhỏ giọt thực thi và cài đặt các thành phần và tạo nhiều khóa đăng ký.

Việc sửa đổi sổ đăng ký ở bước trước buộc “svchost” tải một thư viện độc hại “iiswmi.dll” và thực hiện hành động của nó để gọi giai đoạn thứ ba nơi “trình tải .Net” thực thi và mở cửa hậu Samurai.

Theo các nhà nghiên cứu, cửa hậu Samurai rất khó bị phát hiện trong quá trình thiết kế ngược vì nó "chuyển đổi các trường hợp để nhảy giữa các lệnh, do đó làm phẳng luồng điều khiển" và sử dụng các kỹ thuật làm nhiễu loạn.

Trong các sự cố cụ thể, công cụ nâng cao Ninja được Samurai triển khai nhằm điều phối và cộng tác nhiều người vận hành để làm việc đồng thời trên cùng một cỗ máy. Các nhà nghiên cứu giải thích rằng Ninja cung cấp một bộ lệnh lớn cho phép kẻ tấn công “điều khiển các hệ thống từ xa, tránh bị phát hiện và xâm nhập sâu vào bên trong một mạng được nhắm mục tiêu”.

Ninja chia sẻ những điểm tương đồng với bộ công cụ hậu khai thác khác như Cobalt strike về khả năng và tính năng. Nó có thể “kiểm soát các chỉ báo HTTP và ngụy trang lưu lượng độc hại trong các yêu cầu HTTP có vẻ hợp pháp bằng cách sửa đổi tiêu đề HTTP và đường dẫn URL,” nhà nghiên cứu lưu ý.

Hoạt động ToddyCat mở rộng sang APT của Trung Quốc

Theo báo cáo, các tin tặc có trụ sở tại Trung Quốc đang nhắm mục tiêu vào các nạn nhân của băng nhóm ToddyCat APT trong cùng khung thời gian. Trong những trường hợp đó, các nhà nghiên cứu đã quan sát thấy tin tặc tiếng Trung sử dụng một cửa sau Exchange có tên là FunnyDream.

“Sự chồng chéo này thu hút sự chú ý của chúng tôi, vì cụm phần mềm độc hại ToddyCat hiếm khi được nhìn thấy theo phép đo từ xa của chúng tôi; và chúng tôi đã quan sát thấy các mục tiêu giống nhau bị xâm phạm bởi cả hai APT ở ba quốc gia khác nhau. Hơn nữa, trong tất cả các trường hợp, các vị trí dàn dựng đều có sự gần nhau và trong một trường hợp, chúng sử dụng cùng một thư mục, ”các nhà nghiên cứu viết.

Các nhà nghiên cứu bảo mật tin rằng mặc dù 'thỉnh thoảng có sự gần nhau của các vị trí dàn dựng', họ không có bất kỳ bằng chứng cụ thể nào cho thấy mối liên hệ giữa hai họ phần mềm độc hại.

Kaspersky viết: “Mặc dù có sự chồng chéo, chúng tôi không cảm thấy tự tin khi hợp nhất ToddyCat với cụm FunnyDream vào lúc này. “Xem xét bản chất cao cấp của tất cả các nạn nhân mà chúng tôi phát hiện, có khả năng họ là mối quan tâm của một số nhóm APT,” báo cáo cho biết thêm.

"Các tổ chức bị ảnh hưởng, cả chính phủ và quân đội, cho thấy rằng nhóm này tập trung vào các mục tiêu rất cao và có thể được sử dụng để đạt được các mục tiêu quan trọng, có thể liên quan đến lợi ích địa chính trị," Kaspersky viết.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img