ผู้คุกคามมุ่งเป้าไปที่สถาบันและบริษัทต่างๆ ในยุโรปและเอเชีย
กลุ่มภัยคุกคามต่อเนื่องขั้นสูง (APT) ที่มีชื่อว่า ToddyCat เชื่อกันว่าอยู่เบื้องหลังการโจมตีหลายชุดที่มุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft Exchange ของรัฐบาลที่มีชื่อเสียงและฐานปฏิบัติการทางทหารในเอเชียและยุโรป นักวิจัยกล่าวว่าแคมเปญดังกล่าวเริ่มต้นในเดือนธันวาคม 2020 และส่วนใหญ่เข้าใจยากในความซับซ้อนจนถึงขณะนี้
“คลื่นลูกแรกของการโจมตีมุ่งเป้าไปที่ Microsoft Exchange Server เท่านั้น ซึ่งถูกโจมตีโดย Samurai ซึ่งเป็นแบ็คดอร์ที่ซับซ้อนซึ่งมักจะทำงานบนพอร์ต 80 และ 443” นักวิจัยด้านความปลอดภัยของ Giampaolo Dedola ที่ Kaspersky เขียนในรายงานสรุป APT.
นักวิจัยกล่าวว่า ToddyCat a เป็น APT ที่ค่อนข้างใหม่และมี "ข้อมูลเล็กน้อยเกี่ยวกับนักแสดงคนนี้"
APT ใช้ประโยชน์จากแบ็คดอร์แบบพาสซีฟสองอันภายในสภาพแวดล้อม Exchange Server ที่มีมัลแวร์ชื่อ Samurai and Ninja ซึ่งนักวิจัยกล่าวว่าฝ่ายตรงข้ามใช้เพื่อควบคุมฮาร์ดแวร์และเครือข่ายของเหยื่ออย่างสมบูรณ์
มัลแวร์ซามูไรเป็นส่วนหนึ่งของห่วงโซ่การติดไวรัสหลายขั้นตอนที่ริเริ่มโดยผู้มีชื่อเสียง China Chopper และอาศัยเว็บเชลล์ Kaspersky รายงานเพื่อยกเลิกช่องโหว่บนเซิร์ฟเวอร์แลกเปลี่ยนที่เลือกในไต้หวันและเวียดนามตั้งแต่เดือนธันวาคม 2020
นักวิจัยระบุว่ามัลแวร์ “การเรียกใช้รหัส C# โดยพลการและใช้กับหลายโมดูลที่อนุญาตให้ผู้โจมตีดูแลระบบระยะไกลและเคลื่อนที่ไปทางด้านข้างภายในเครือข่ายเป้าหมาย” ในบางกรณี พวกเขากล่าวว่าประตูหลังของ Samurai เป็นช่องทางในการเปิดโปรแกรมอันตรายอื่นที่เรียกว่า Ninja
ด้านกิจกรรมภัยคุกคามของ ToddyCat ก็ถูกติดตามโดยบริษัทรักษาความปลอดภัยทางไซเบอร์เช่นกัน ESETซึ่งขนานนามว่า “กลุ่มกิจกรรม” ที่เห็นในป่าเป็น Websiic ในขณะเดียวกัน นักวิจัยที่ GTSC ระบุอีกส่วนหนึ่งของเวกเตอร์และเทคนิคการติดเชื้อของกลุ่ม ในรายงาน สรุปการส่งมอบรหัสหยดของมัลแวร์.
“เท่าที่เราทราบ ไม่มีบัญชีสาธารณะใดที่บรรยายการพบเห็นห่วงโซ่การติดไวรัสทั้งหมด หรือขั้นตอนต่อมาของมัลแวร์ที่ปรับใช้เป็นส่วนหนึ่งของการดำเนินงานของกลุ่มนี้” Kaspersky เขียน
การโจมตีหลายครั้งบน Exchange Server ในช่วงหลายปีที่ผ่านมา
ในช่วงระหว่างเดือนธันวาคม 2020 ถึงกุมภาพันธ์ 2021 การโจมตีระลอกแรกเกิดขึ้นกับเซิร์ฟเวอร์จำนวนจำกัดในไต้หวันและเวียดนาม
ในช่วงเวลาถัดไป ระหว่างเดือนกุมภาพันธ์ พ.ศ. 2021 ถึงพฤษภาคม พ.ศ. 2021 นักวิจัยพบว่ามีการโจมตีเพิ่มขึ้นอย่างกะทันหัน นั่นคือตอนที่พวกเขากล่าวว่าตัวแสดงภัยคุกคามเริ่มใช้ในทางที่ผิด เข้าสู่ระบบพร็อกซี่ ช่องโหว่ในการกำหนดเป้าหมายองค์กรในหลายประเทศ ได้แก่ อิหร่าน อินเดีย มาเลเซีย สโลวาเกีย รัสเซีย และสหราชอาณาจักร
หลังเดือนพฤษภาคม พ.ศ. 2021 นักวิจัยได้สังเกตเห็นคุณลักษณะที่เชื่อมโยงกับกลุ่มเดียวกันซึ่งมีเป้าหมายไปยังประเทศที่กล่าวถึงก่อนหน้านี้ ตลอดจนองค์กรทางการทหารและรัฐบาลในอินโดนีเซีย อุซเบกิสถาน และคีร์กีซสถาน พื้นผิวการโจมตีในคลื่นลูกที่สามขยายไปยังระบบเดสก์ท็อป ในขณะที่ก่อนหน้านี้ขอบเขตจำกัดเฉพาะ Microsoft Exchange Servers เท่านั้น
ลำดับการโจมตี
ลำดับการโจมตีเริ่มต้นหลังจากการปรับใช้ลำดับการโจมตีของเว็บเชลล์ของ China Chopper ซึ่งช่วยให้ดรอปเปอร์สามารถดำเนินการและติดตั้งส่วนประกอบและสร้างคีย์รีจิสทรีหลายรายการ
การแก้ไขรีจิสทรีในขั้นตอนก่อนหน้าบังคับให้ "svchost" โหลดไลบรารีที่เป็นอันตราย "iiswmi.dll" และดำเนินการเพื่อเรียกใช้ขั้นตอนที่สามที่ ".Net loader" ดำเนินการและเปิดประตูลับของ Samurai
นักวิจัยกล่าวว่าประตูหลังของ Samurai นั้นตรวจจับได้ยากในระหว่างกระบวนการวิศวกรรมย้อนกลับ เนื่องจากมัน "สลับกรณีเพื่อข้ามไปมาระหว่างคำสั่ง จึงทำให้การควบคุมโฟลว์แบนราบ" และใช้เทคนิคการสร้างความสับสน
ในเหตุการณ์เฉพาะ ซามูไรใช้เครื่องมือขั้นสูง Ninja เพื่อประสานงานและทำงานร่วมกันผู้ปฏิบัติงานหลายรายเพื่อทำงานพร้อมกันบนเครื่องเดียวกัน นักวิจัยอธิบายว่านินจามีชุดคำสั่งจำนวนมากที่ช่วยให้ผู้โจมตีสามารถ "ควบคุมระบบระยะไกล หลีกเลี่ยงการตรวจจับ และเจาะลึกเข้าไปในเครือข่ายเป้าหมาย"
Ninja แบ่งปันความคล้ายคลึงกันกับชุดเครื่องมือหลังการใช้ประโยชน์อื่น ๆ เช่น Cobalt Strike ในแง่ของความสามารถและคุณสมบัติ นักวิจัยตั้งข้อสังเกตว่าสามารถ "ควบคุมตัวบ่งชี้ HTTP และอำพรางทราฟฟิกที่เป็นอันตรายในคำขอ HTTP ที่ปรากฏถูกต้องตามกฎหมายโดยการแก้ไขส่วนหัว HTTP และเส้นทาง URL"
กิจกรรม ToddyCat ขยายไปสู่ APT ของจีน
ตามรายงาน แฮ็กเกอร์ในจีนกำลังกำหนดเป้าหมายไปที่เหยื่อของแก๊ง ToddyCat APT ภายในกรอบเวลาเดียวกัน ในกรณีดังกล่าว นักวิจัยสังเกตเห็นว่าแฮ็กเกอร์ภาษาจีนใช้แบ็คดอร์ Exchange ที่เรียกว่า FunnyDream
“ความเหลื่อมล้ำนี้ดึงดูดความสนใจของเรา เนื่องจากคลัสเตอร์มัลแวร์ ToddyCat ไม่ค่อยเห็นตามการวัดระยะไกลของเรา และเราสังเกตเห็นเป้าหมายเดียวกันที่ถูกบุกรุกโดย APT ทั้งสองในสามประเทศที่แตกต่างกัน ยิ่งกว่านั้น ในทุกกรณี สถานที่แสดงละครมีความใกล้เคียงกัน และในกรณีหนึ่งพวกเขาใช้ไดเร็กทอรีเดียวกัน” นักวิจัยเขียน
นักวิจัยด้านความปลอดภัยเชื่อว่าแม้จะมี 'ความใกล้ชิดในสถานที่แสดงละครเป็นครั้งคราว' พวกเขาไม่มีหลักฐานที่เป็นรูปธรรมที่แสดงให้เห็นถึงความเชื่อมโยงระหว่างสองตระกูลมัลแวร์
แคสเปอร์สกี้เขียนว่า "แม้จะทับซ้อนกัน แต่เราไม่รู้สึกมั่นใจที่จะรวม ToddyCat เข้ากับคลัสเตอร์ FunnyDream ในขณะนี้" “เมื่อพิจารณาถึงลักษณะที่มีรายละเอียดสูงของเหยื่อทั้งหมดที่เราค้นพบ มีแนวโน้มว่าพวกเขาจะสนใจกลุ่ม APT หลายกลุ่ม” รายงานกล่าวเสริม
“องค์กรที่ได้รับผลกระทบ ทั้งภาครัฐและกองทัพ แสดงให้เห็นว่ากลุ่มนี้มุ่งเน้นไปที่เป้าหมายที่มีรายละเอียดสูงและน่าจะใช้เพื่อบรรลุเป้าหมายที่สำคัญ ซึ่งน่าจะเกี่ยวข้องกับผลประโยชน์ทางภูมิรัฐศาสตร์” Kaspersky เขียน
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- รัฐบาล
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล