ToddyCat: APT koji napada visokoprofilne entitete novim malware-om

Istraživači kompanije Kaspersky izvestili su o tekućoj kampanji koju sprovodi ToddyCat - grupa naprednih pretnji (APT) koja se fokusira na kompromitovanje više Microsoft Exchange servera koristeći dva maliciozna programa – Samurai backdoor i Ninja Trojan. Kampanja je ciljano napadala državne i vojne sektore u Evropi i Aziji.

ToddyCat je relativno nova sofisticirana APT grupa, a istraživači kompanije Kaspersky su prvi razotkrili njihove aktivnosti u decembru 2020. godine, kada su izvršili brojne napade na Microsoft Exchange servere odabranih meta. Između februara i marta 2021. godine, Kaspersky je primetio eskalaciju aktivnosti kada je ToddyCat počeo da zloupotrebljava ProxyLogon ranjivost na Microsoft Exchange severima kako bi kompromitovao više organizacija širom Evrope i Azije. Od septembra 2021. godine, grupa se preorijentisala na desktop mašine različitih državnih i diplomatskih entiteta u Aziji. Grupa kontinuirano ažurira svoj arsenal i nastavlja sa napadima i u 2022. godini.

Ostaje nejasno koji je početni vektor infekcije za poslednje aktivnosti, ali su istraživači kompanije Kaspersky sproveli detaljnu analizu malware-a koji se koristi u ovim kampanjama. ToddyCat koristi Samurai Backdoor i Ninja Trojan, dva sofisticirana alata za sajber špijunažu koje je teško detektovati, dizajnirana tako da duboko prodiru u ciljane mreže.

Samurai je modularni backdoor, sastavna komponenta poslednje faze napada, koji omogućava napadaču da daljinski upravlja sistemom dok se "bočno" kreće u kompromitovanoj mreži. Ovaj malware je specifičan po tome što zloupotrebljava više kontrolnih tokova i iskaza (case statements) za preskakanje između instrukcija, što otežava praćenje redosleda radnji u kodu. Dodatno se koristi za pokretanje novog malware-a pod nazivom Ninja Trojan, složenog alata koji omogućava da više operatera radi na jednoj mašini istovremeno.

Ninja Trojan pruža i veliki broj komandi što omogućava napadačima da daljinski kontrolišu sisteme izbegavajući detekciju. Ninja trojan se obično učitava u memoriju uređaja i pokreće prilikom različitih procesa učitavanja (loaders). Ovaj alat pokreće operaciju tako što preuzima konfigurisane parametre iz enkriptovanog payload-a, a zatim se infiltrira u kompromitovanu mrežu i omogućava brojne funkcije - upravljanje sistemima datoteka, pokretanje reverse shells-a, prosleđivanje TCP paketa, pa čak i preuzimanje kontrole nad mrežom u određenim vremenskim okvirima koji se mogu dinamički konfigurisati korišćenjem određene komande.

Ovaj malware podseća na druge poznate alatke za post-eksploataciju, kao što je CobaltStrike, osim što Ninja Trojan pruža mogućnost ograničenog broja direktnih konekcija ciljane mreže sa sistemima daljinske komande i kontrole bez pristupa internetu. Pored toga, može da kontroliše HTTP indikatore i da kamuflira maliciozni saobraćaj u HTTP zahtevima, kako bi se činili legitimnim. To se radi modifikovanjem HTTP header-a i URL putanja, zbog čega je Ninja Trojan specifično prikriven.

- ToddyCat je sofisticirana grupa sa većim tehničkim veštinama, sposobna da ostane neprimetna i da se infiltrira u sisteme visko pozicioniranih organizacija. Uprkos broju učitavanja (loaders) i napada otkrivenih tokom prošle godine, još uvek nemamo kompletnu preglednost njihovih operacija i taktika. Značajna karakteristika ToddyCat-a je fokusiranost na napredne mogućnosti malicioznog softvera – Ninja Trojan je dobio takvo ime s razlogom – teško ga je otkriti i teže zaustaviti. Najbolji način da se suprotstavite ovakvoj pretnji je upotreba višeslojne odbrane koja pruža informacije o internim sredstvima (assets) i u toku je sa najnovijim obaveštajnim podacima o potencijalnim pretnjama - kaže Giampaolo Dedola, bezbednosni ekspert kompanije Kaspersky.

Da biste saznali više o ToddyCat-u, njihovim tehnikama i načinima kako da zaštitite svoju mrežu od njihovih napada, pročitajte Securelist izveštaj.

• Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama (TI). Kaspersky Threat Intelligence Portal je jedinstvena tačka pristupa za TI kompanije, pružajući podatke o sajber napadima i uvide koje je Kaspersky prikupljao skoro 25 godina. Pristup odabranim funkcijama je besplatan što omogućava korisnicima da provere datoteke, URL i IP adrese. Više informacija možete pronaći ovde

• Osposobite svoj tim za sajber bezbednost, kako bi bili u pripravnosti za suočavanje sa najnovijim ciljanim pretnjama, uz Kaspersky onlajn obuku koju su razvili GReAT stručnjaci

• Za endpoint otkrivanje, istragu i blagovremeno otklanjanje incidenata, primenite EDR rešenja kao što su Kaspersky Endpoint Detection and Response

• Pored osnovne endpoint zaštite, implementirajte korporativno bezbednosno rešenje koje detektuje napredne pretnje u ranim fazama, poput Kaspersky Anti Targeted Attack Platform

• Mnogi ciljani napadi počinju fišingom ili drugim tehnikama socijalnog inženjeringa, zbog čega bi trebalo da uvedete bezbednosnu obuku i naučite vaš tim praktičnim veštinama – na primer, koristeći Kaspersky Automated Security Awareness Platform