Неуловимый APT ToddyCat нацелен на серверы Microsoft Exchange

Считается, что группа продвинутых постоянных угроз (APT), получившая название ToddyCat, стоит за серией атак, нацеленных на серверы Microsoft Exchange высокопоставленных правительственных и военных объектов в Азии и Европе. Кампании, по словам исследователей, начались в декабре 2020 года, и до сих пор их сложность была в значительной степени плохо изучена.

«Первая волна атак была нацелена исключительно на серверы Microsoft Exchange, которые были скомпрометированы с помощью Samurai, сложного пассивного бэкдора, который обычно работает на портах 80 и 443», — пишет Джампаоло Дедола, исследователь безопасности из «Лаборатории Касперского»., в отчете с описанием APT.

Исследователи говорят, что ToddyCat — это относительно новый APT, и «информации об этом актере мало».

APT использует два пассивных бэкдора в среде Exchange Server с вредоносными программами под названием Samurai и Ninja, которые, по словам исследователей, используются злоумышленниками для получения полного контроля над оборудованием и сетью жертвы.

Вредоносная программа Samurai была частью многоступенчатой ​​цепочки заражения, инициированной печально известным China Chopper и полагается на веб-оболочки сбросить эксплойты на выбранный сервер обмена в Тайване и Вьетнаме с декабря 2020 года, сообщает «Лаборатория Касперского».

Исследователи заявили, что вредоносное ПО «произвольно выполняет код C# и используется с несколькими модулями, которые позволяют злоумышленнику администрировать удаленную систему и перемещаться внутри целевой сети». По их словам, в некоторых случаях бэкдор Samurai прокладывает путь для запуска другой вредоносной программы под названием Ninja.

Аспекты деятельности ToddyCat по угрозам также отслеживались фирмой по кибербезопасности. ESET, который назвал «кластер действий», наблюдаемый в дикой природе, как Websiic. Между тем, исследователи из GTSC выявили еще одну часть переносчиков и методов заражения группы. в отчете описание доставки кода дроппера вредоносного ПО.

«При этом, насколько нам известно, ни в одном из публичных аккаунтов не описана полная цепочка заражения или более поздние стадии вредоносного ПО, развернутого в рамках операции этой группы», — написал Касперский.

Несколько серий атак на Exchange Server за последние годы

В период с декабря 2020 г. по февраль 2021 г. была проведена первая волна атак на ограниченное количество серверов на Тайване и во Вьетнаме.

В следующий период, с февраля 2021 года по май 2021 года, исследователи наблюдали внезапный всплеск атак. Именно тогда, по их словам, злоумышленник начал злоупотреблять ПроксиЛогон уязвимость для целевых организаций в нескольких странах, включая Иран, Индию, Малайзию, Словакию, Россию и Великобританию.

После мая 2021 года исследователи наблюдали атрибуты, связанные с той же группой, которая нацелена на ранее упомянутые страны, а также на военные и правительственные организации, базирующиеся в Индонезии, Узбекистане и Кыргызстане. Поверхность атаки в третьей волне распространяется на настольные системы, тогда как ранее область действия была ограничена только серверами Microsoft Exchange.

Последовательность атаки

Последовательность атаки инициируется после развертывания последовательности атаки веб-оболочки China Chopper, которая позволяет дропперу выполнять и устанавливать компоненты и создавать несколько ключей реестра.

Модификация реестра на предыдущем шаге заставляет «svchost» загрузить вредоносную библиотеку «iiswmi.dll» и выполняет свои действия, чтобы вызвать третий этап, на котором запускается «загрузчик .Net» и открывает бэкдор Samurai.

По словам исследователей, бэкдор Samurai трудно обнаружить в процессе реверс-инжиниринга, поскольку он «переключает случаи для перехода между инструкциями, тем самым сглаживая поток управления» и использует методы запутывания.

В конкретных случаях компания Samurai внедрила передовой инструмент Ninja для координации и совместной работы нескольких операторов для одновременной работы на одной машине. Исследователи пояснили, что Ninja предоставляет большой набор команд, позволяющих злоумышленнику «управлять удаленными системами, избегать обнаружения и проникать глубоко внутрь целевой сети».

Ninja имеет сходство с другим набором инструментов для пост-эксплуатации, таким как Cobalt strike, с точки зрения возможностей и функций. Он может «управлять индикаторами HTTP и маскировать вредоносный трафик в HTTP-запросах, которые кажутся легитимными, путем изменения HTTP-заголовков и URL-адресов», — отметил исследователь.

Деятельность ToddyCat распространяется на китайские APT

Согласно отчету, хакеры, базирующиеся в Китае, нацелены на жертв банды ToddyCat APT в те же сроки. В этих случаях исследователи наблюдали, как хакеры, говорящие на китайском языке, использовали бэкдор Exchange под названием FunnyDream.

«Это совпадение привлекло наше внимание, поскольку согласно нашей телеметрии кластер вредоносных программ ToddyCat редко встречается; и мы наблюдали одни и те же цели, скомпрометированные обеими APT в трех разных странах. Более того, во всех случаях была близость мест размещения, а в одном случае они использовали один и тот же каталог», — пишут исследователи.

Исследователи безопасности считают, что, несмотря на «иногда близость мест размещения», у них нет конкретных доказательств, показывающих связь между двумя семействами вредоносных программ.

«Несмотря на дублирование, мы не чувствуем уверенности в объединении ToddyCat с кластером FunnyDream на данный момент», — написал Касперский. «Учитывая громкий характер всех обнаруженных нами жертв, вполне вероятно, что они представляли интерес для нескольких групп APT», — говорится в отчете.

«Пострадавшие организации, как правительственные, так и военные, показывают, что эта группа сосредоточена на очень важных целях и, вероятно, используется для достижения важных целей, вероятно, связанных с геополитическими интересами», — написал Касперский.