APT ToddyCat yang Sulit Ditargetkan Menargetkan Server Microsoft Exchange

Sebuah kelompok ancaman persisten tingkat lanjut (APT), dijuluki ToddyCat, diyakini berada di balik serangkaian serangan yang menargetkan server Microsoft Exchange dari instalasi pemerintah dan militer profil tinggi di Asia dan Eropa. Kampanye, menurut peneliti, dimulai pada Desember 2020, dan sebagian besar kurang dipahami dalam kompleksitasnya hingga sekarang.

“Gelombang serangan pertama secara eksklusif menargetkan Microsoft Exchange Server, yang dikompromikan dengan Samurai, pintu belakang pasif canggih yang biasanya bekerja pada port 80 dan 443,” tulis peneliti keamanan Giampaolo Dedola di Kaspersky, dalam laporan yang menguraikan APT.

Para peneliti mengatakan ToddyCat a adalah APT yang relatif baru dan ada “sedikit informasi tentang aktor ini.”

APT memanfaatkan dua pintu belakang pasif dalam lingkungan Exchange Server dengan malware yang disebut Samurai dan Ninja, yang menurut peneliti digunakan oleh musuh untuk mengambil kendali penuh atas perangkat keras dan jaringan korban.

Malware Samurai adalah bagian dari rantai infeksi multi-tahap yang diprakarsai oleh yang terkenal China Chopper dan bergantung pada cangkang web untuk menjatuhkan eksploitasi pada server pertukaran yang dipilih di Taiwan dan Vietnam mulai Desember 2020, lapor Kaspersky.

Para peneliti menyatakan bahwa malware “eksekusi kode C# sewenang-wenang dan digunakan dengan beberapa modul yang memungkinkan penyerang untuk mengatur sistem jarak jauh dan bergerak secara lateral di dalam jaringan yang ditargetkan.” Dalam beberapa kasus, kata mereka, pintu belakang Samurai membuka jalan untuk meluncurkan program jahat lain yang disebut Ninja.

Aspek aktivitas ancaman ToddyCat juga dilacak oleh perusahaan keamanan siber ESET, yang menjuluki "kelompok aktivitas" yang terlihat di alam liar sebagai Websiic. Sementara itu, para peneliti di GTSC mengidentifikasi bagian lain dari vektor dan teknik infeksi kelompok dalam sebuah laporan menguraikan pengiriman kode penetes malware.

“Yang mengatakan, sejauh yang kami tahu, tidak ada akun publik yang menggambarkan penampakan rantai infeksi penuh atau tahap selanjutnya dari malware yang disebarkan sebagai bagian dari operasi grup ini,” tulis Kaspersky.

Serangkaian Serangan di Server Exchange Selama Bertahun-tahun

Selama periode antara Desember 2020 dan Februari 2021, gelombang serangan pertama dilakukan terhadap jumlah server yang terbatas di Taiwan dan Vietnam.

Pada periode berikutnya, antara Februari 2021 dan Mei 2021, para peneliti mengamati lonjakan serangan yang tiba-tiba. Saat itulah, kata mereka, pelaku ancaman mulai menyalahgunakan ProksiLogon kerentanan terhadap organisasi sasaran di berbagai negara termasuk Iran, India, Malaysia, Slovakia, Rusia, dan Inggris.

Setelah Mei 2021, para peneliti mengamati atribut yang terkait dengan kelompok yang sama yang menargetkan negara-negara yang disebutkan sebelumnya serta organisasi militer dan pemerintah yang berbasis di Indonesia, Uzbekistan, dan Kirgistan. Permukaan serangan di gelombang ketiga diperluas ke sistem desktop sementara sebelumnya cakupannya terbatas hanya pada Microsoft Exchange Server.

Urutan Serangan

Urutan serangan dimulai setelah penyebaran urutan serangan shell web China Chopper, yang memungkinkan penetes untuk mengeksekusi dan menginstal komponen dan membuat beberapa kunci registri.

Modifikasi registri pada langkah sebelumnya memaksa "svchost" untuk memuat perpustakaan berbahaya "iiswmi.dll" dan melakukan tindakannya untuk memanggil tahap ketiga di mana ".Net loader" dijalankan dan membuka pintu belakang Samurai.

Menurut para peneliti, pintu belakang Samurai sulit dideteksi selama proses rekayasa terbalik karena "beralih kasus untuk melompat di antara instruksi, sehingga meratakan aliran kontrol" dan menggunakan teknik kebingungan.

Dalam insiden tertentu, alat canggih Ninja diimplementasikan oleh Samurai untuk mengoordinasikan dan mengkolaborasikan beberapa operator untuk bekerja secara bersamaan pada mesin yang sama. Para peneliti menjelaskan bahwa Ninja menyediakan serangkaian besar perintah yang memungkinkan penyerang untuk "mengendalikan sistem jarak jauh, menghindari deteksi, dan menembus jauh ke dalam jaringan yang ditargetkan".

Ninja memiliki kesamaan dengan toolkit pasca-eksploitasi lainnya seperti serangan Cobalt dalam hal kemampuan dan fitur. Itu dapat “mengontrol indikator HTTP dan menyamarkan lalu lintas berbahaya dalam permintaan HTTP yang tampak sah dengan memodifikasi header HTTP dan jalur URL,” catat peneliti.

Aktivitas ToddyCat Meluas ke APT China

Menurut laporan itu, peretas yang berbasis di China menargetkan korban geng APT ToddyCat dalam jangka waktu yang sama. Dalam kasus tersebut, peneliti mengamati peretas berbahasa Mandarin menggunakan pintu belakang Exchange yang disebut FunnyDream.

“Tumpang tindih ini menarik perhatian kami, karena klaster malware ToddyCat jarang terlihat menurut telemetri kami; dan kami mengamati target yang sama yang dikompromikan oleh kedua APT di tiga negara berbeda. Selain itu, dalam semua kasus ada kedekatan di lokasi pementasan dan dalam satu kasus mereka menggunakan direktori yang sama,” tulis para peneliti.

Para peneliti keamanan percaya bahwa meskipun 'kedekatan sesekali di lokasi pementasan', mereka tidak memiliki bukti nyata yang menunjukkan hubungan antara dua keluarga malware.

“Meskipun tumpang tindih, kami tidak merasa percaya diri untuk menggabungkan ToddyCat dengan kluster FunnyDream saat ini,” tulis Kaspersky. “Mempertimbangkan sifat profil tinggi dari semua korban yang kami temukan, kemungkinan mereka menarik bagi beberapa kelompok APT,” tambah laporan itu.

“Organisasi yang terkena dampak, baik pemerintah maupun militer, menunjukkan bahwa kelompok ini berfokus pada target yang sangat terkenal dan mungkin digunakan untuk mencapai tujuan penting, kemungkinan terkait dengan kepentingan geopolitik,” tulis Kaspersky.