Elusive ToddyCat APT vizează serverele Microsoft Exchange

Un grup avansat de amenințări persistente (APT), numit ToddyCat, este considerat în spatele unei serii de atacuri care vizează serverele Microsoft Exchange ale instalațiilor guvernamentale și militare de profil înalt din Asia și Europa. Potrivit cercetătorilor, campaniile au început în decembrie 2020 și au fost în mare parte prost înțelese în complexitatea lor până acum.

„Primul val de atacuri a vizat exclusiv serverele Microsoft Exchange, care au fost compromise cu Samurai, o ușă pasivă sofisticată care funcționează de obicei pe porturile 80 și 443”, a scris Giampaolo Dedola, cercetător de securitate la Kaspersky., într-un raport care evidențiază APT.

Cercetătorii au spus că ToddyCat a este un APT relativ nou și că există „puține informații despre acest actor”.

APT folosește două backdoors pasive în mediul Exchange Server cu programe malware numite Samurai și Ninja, despre care cercetătorii spun că sunt folosite de adversari pentru a prelua controlul complet asupra hardware-ului și rețelei victimei.

Malware-ul Samurai făcea parte dintr-un lanț de infecții în mai multe etape inițiat de cei infami China Chopper și se bazează pe shell-uri web pentru a elimina exploit-urile pe serverul de schimb selectat din Taiwan și Vietnam din decembrie 2020, relatează Kaspersky.

Cercetătorii au afirmat că malware-ul „execuție cod C# arbitrar și este folosit cu mai multe module care permit atacatorului să administreze sistemul de la distanță și să se deplaseze lateral în interiorul rețelei vizate”. În unele cazuri, au spus ei, ușa din spate Samurai deschide calea pentru lansarea unui alt program rău intenționat numit Ninja.

Aspecte ale activităților de amenințare ale lui ToddyCat au fost, de asemenea, urmărite de firma de securitate cibernetică ESET, care a numit „clusterul de activități” văzut în sălbăticie Websiic. Între timp, cercetătorii de la GTSC au identificat o altă parte a vectorilor și tehnicilor de infecție ale grupului într-un raport subliniind livrarea codului dropper al malware-ului.

„Acest lucru fiind spus, din câte știm, niciunul dintre conturile publice nu a descris observări ale întregului lanț de infecție sau etapele ulterioare ale malware-ului implementat ca parte a operațiunii acestui grup”, a scris Kaspersky.

Mai multe șiruri de atacuri asupra serverului Exchange de-a lungul anilor

În perioada dintre decembrie 2020 și februarie 2021, primul val de atacuri a fost efectuat împotriva numărului limitat de servere din Taiwan și Vietnam.

În perioada următoare, între februarie 2021 și mai 2021, cercetătorii au observat o creștere bruscă a atacurilor. Atunci, au spus ei, actorul amenințării a început să abuzeze de ProxyLogon vulnerabilitatea la organizațiile țintă din mai multe țări, inclusiv Iran, India, Malaezia, Slovacia, Rusia și Regatul Unit.

După mai 2021, cercetătorii au observat atributele legate de același grup care vizează țările menționate anterior, precum și organizațiile militare și guvernamentale cu sediul în Indonezia, Uzbekistan și Kârgâzstan. Suprafața de atac din al treilea val este extinsă la sisteme desktop, în timp ce anterior domeniul de aplicare era limitat doar la serverele Microsoft Exchange.

Secvență de atac

Secvența de atac este inițiată după implementarea secvenței de atac China Chopper web shell, care permite dropper-ului să execute și să instaleze componentele și să creeze mai multe chei de registry.

Modificarea registrului din pasul anterior forțează „svchost” să încarce o bibliotecă rău intenționată „iiswmi.dll” și își efectuează acțiunea pentru a invoca a treia etapă în care un „.Net loader” se execută și deschide ușa din spate Samurai.

Potrivit cercetătorilor, ușa din spate Samurai este greu de detectat în timpul procesului de inginerie inversă, deoarece „comută cazurile pentru a trece între instrucțiuni, aplatind astfel fluxul de control” și utilizează tehnici de ofuscare.

În incidentele specifice, instrumentul avansat Ninja a fost implementat de Samurai pentru a coordona și colabora mai mulți operatori pentru a lucra simultan pe aceeași mașină. Cercetătorii au explicat că Ninja oferă un set mare de comenzi care îi permit unui atacator să „controleze sistemele de la distanță, să evite detectarea și să pătrundă adânc în interiorul unei rețele vizate”.

Ninja are asemănări cu celelalte instrumente post-exploatare, cum ar fi Cobalt strike, în ceea ce privește capabilitățile și caracteristicile. Poate „controla indicatorii HTTP și camufla traficul rău intenționat în solicitările HTTP care par legitime prin modificarea antetului HTTP și a căilor URL”, a remarcat cercetătorul.

Activitatea ToddyCat se extinde la APT-urile chinezești

Potrivit raportului, hackerii din China vizează victimele bandei ToddyCat APT în același interval de timp. În acele cazuri, cercetătorii au observat că hackerii în limba chineză folosesc o ușă din spate Exchange numită FunnyDream.

„Această suprapunere ne-a atras atenția, deoarece clusterul de malware ToddyCat este rareori văzut conform telemetriei noastre; și am observat aceleași ținte compromise de ambele APT în trei țări diferite. Mai mult, în toate cazurile a existat o proximitate în locurile de desfășurare și într-un caz au folosit același director”, au scris cercetătorii.

Cercetătorii în domeniul securității cred că, în ciuda „proximității ocazionale a locațiilor de desfășurare”, nu au nicio dovadă concretă care să arate legătura dintre cele două familii de malware.

„În ciuda suprapunerii, momentan nu ne simțim încrezători în fuzionarea ToddyCat cu clusterul FunnyDream”, a scris Kaspersky. „Având în vedere natura de profil înalt a tuturor victimelor pe care le-am descoperit, este probabil că acestea au fost de interes pentru mai multe grupuri APT”, a adăugat raportul.

„Organizațiile afectate, atât guvernamentale, cât și militare, arată că acest grup se concentrează pe ținte foarte importante și este probabil folosit pentru a atinge obiective critice, probabil legate de interese geopolitice”, a scris Kaspersky.