A fenyegetés szereplője európai és ázsiai intézményeket és vállalatokat céloz meg.
A feltételezések szerint a ToddyCat névre keresztelt fejlett, tartós fenyegetésekkel foglalkozó csoport (APT) áll egy sor támadás mögött, amelyek nagy horderejű kormányzati és katonai létesítmények Microsoft Exchange szervereit célozzák Ázsiában és Európában. A kampányok a kutatók szerint 2020 decemberében kezdődtek, és eddig nagyrészt kevéssé ismerték bonyolultságukat.
"A támadások első hulláma kizárólag a Microsoft Exchange szervereket célozta meg, amelyeket a Samurai-val, egy kifinomult passzív hátsó ajtóval kompromittáltak, amely általában a 80-as és 443-as portokon működik" - írta Giampaolo Dedola, a Kaspersky biztonsági kutatója., az APT-t felvázoló jelentésben.
A kutatók szerint a ToddyCat a viszonylag új APT, és „kevés információ áll rendelkezésre erről a színészről”.
Az APT két passzív hátsó ajtót használ ki az Exchange Server környezetben a Samurai és Ninja nevű rosszindulatú programokkal, amelyeket a kutatók szerint az ellenfelek arra használnak, hogy teljes mértékben átvegyék az irányítást az áldozat hardvere és hálózata felett.
A szamuráj malware egy többlépcsős fertőzési lánc része volt, amelyet a hírhedt kezdeményezett China Chopper és webhéjakra támaszkodik 2020 decemberétől leállítja az exploitokat a kiválasztott Exchange-szerveren Tajvanon és Vietnamban – írja a Kaspersky.
A kutatók kijelentették, hogy a rosszindulatú program „önkényes C#-kód végrehajtása, és több olyan modullal együtt használják, amelyek lehetővé teszik a támadó számára a távoli rendszer adminisztrációját és oldalirányú mozgását a megcélzott hálózaton belül”. Egyes esetekben azt mondták, hogy a szamuráj hátsó ajtó egy másik rosszindulatú program, a Ninja elindításához vezet.
A ToddyCat fenyegetési tevékenységének szempontjait egy kiberbiztonsági cég is nyomon követte ESET, amely a vadonban látott „tevékenységek klaszterét” Websiic-nek nevezte el. Eközben a GTSC kutatói azonosították a csoport fertőzési vektorainak és technikáinak egy másik részét jelentésben felvázolja a rosszindulatú program dropper kódjának kézbesítését.
"Ez azt jelenti, hogy tudomásunk szerint egyik nyilvános beszámoló sem írta le a teljes fertőzési lánc észlelését vagy a csoport működésének részeként telepített kártevő későbbi szakaszait" - írta Kaspersky.
Többszöri támadás az Exchange szerveren az évek során
A 2020 decembere és 2021 februárja közötti időszakban a támadások első hullámát a korlátozott számú szerver ellen hajtották végre Tajvanon és Vietnamban.
A következő időszakban, 2021 februárja és 2021 májusa között a kutatók a támadások hirtelen megugrását figyelték meg. Ekkor – mondták – a fenyegetőző színész bántalmazni kezdte a ProxyLogon sebezhetőség a célszervezetekkel szemben több országban, köztük Iránban, Indiában, Malajziában, Szlovákiában, Oroszországban és az Egyesült Királyságban.
2021 májusa után a kutatók megfigyelték az ugyanahhoz a csoporthoz kötődő tulajdonságokat, amelyek a korábban említett országokat, valamint az indonéziai, üzbegisztáni és kirgizisztáni katonai és kormányzati szervezeteket célozzák meg. A harmadik hullám támadási felülete az asztali rendszerekre bővült, míg korábban a hatókör csak a Microsoft Exchange szerverekre korlátozódott.
Támadási sorrend
A támadási szekvencia a China Chopper web shell támadási sorozatának telepítése után indul, amely lehetővé teszi a dropper számára az összetevők végrehajtását és telepítését, valamint több rendszerleíró kulcs létrehozását.
Az előző lépésben végrehajtott beállításjegyzék-módosítás arra kényszeríti az „svchost”-t, hogy betöltse az „iiswmi.dll” rosszindulatú könyvtárat, és végrehajtja a műveletet a harmadik szakasz meghívására, ahol a „.Net betöltő” végrehajtja és megnyitja a szamuráj hátsó ajtót.
A kutatók szerint a szamuráj hátsó ajtót nehéz észlelni a visszafejtési folyamat során, mivel „az eseteket váltja, hogy ugorjon az utasítások között, így ellazuljon a vezérlési folyamat”, és homályos technikákat alkalmaz.
A konkrét incidenseknél a Ninja fejlett eszközt a Samurai implementálta, hogy több kezelőt koordináljon és együttműködjön, hogy egyidejűleg dolgozzanak ugyanazon a gépen. A kutatók kifejtették, hogy a Ninja számos parancsot biztosít, amely lehetővé teszi a támadó számára, hogy „távoli rendszereket vezéreljen, elkerülje az észlelést és mélyen behatoljon a célzott hálózatba”.
A Ninja képességeit és szolgáltatásait tekintve hasonlóságot mutat a többi kizsákmányolás utáni eszközkészlettel, mint például a Cobalt Strike. A kutató megjegyezte, hogy „szabályozhatja a HTTP-jelzőket, és álcázhatja a jogosnak tűnő HTTP-kérésekben a rosszindulatú forgalmat a HTTP-fejlécek és az URL-útvonalak módosításával.
A ToddyCat tevékenysége kiterjed a kínai APT-kre is
A jelentés szerint a kínai hackerek a ToddyCat APT banda áldozatait veszik célba ugyanezen időkereten belül. Ezekben az esetekben a kutatók megfigyelték, hogy a kínai nyelvű hackerek a FunnyDream nevű Exchange hátsó ajtót használják.
„Ez az átfedés felkeltette a figyelmünket, mivel a ToddyCat rosszindulatú programfürt ritkán látható a telemetria szerint; és ugyanazokat a célokat figyeltük meg, amelyeket mindkét APT veszélyeztetett három különböző országban. Sőt, minden esetben közel volt a állomáshely, és egy esetben ugyanazt a könyvtárat használták” – írták a kutatók.
A biztonsági kutatók úgy vélik, hogy annak ellenére, hogy „alkalmanként közel vannak a felállítási helyek”, nincs konkrét bizonyítékuk arra vonatkozóan, hogy a két rosszindulatú programcsalád között fennáll a kapcsolat.
„Az átfedés ellenére jelenleg nem érezzük magunkat magabiztosnak a ToddyCat és a FunnyDream fürt összevonásában” – írta Kaspersky. „Tekintettel az általunk felfedezett áldozatok nagy horderejű természetére, valószínűleg több APT-csoport számára is érdekesek voltak” – tette hozzá a jelentés.
"Az érintett szervezetek, mind a kormányzati, mind a katonai, azt mutatják, hogy ez a csoport nagyon nagy horderejű célokra összpontosít, és valószínűleg kritikus célok elérésére használják, amelyek valószínűleg geopolitikai érdekekhez kapcsolódnak" - írta Kaspersky.
