ToddyCat APT stjæler data på 'industriel skala'

En avanceret vedvarende trussel (APT) gruppe kendt som ToddyCat indsamler data i industriel skala fra regerings- og forsvarsmål i Asien-Stillehavsområdet.

Forskere fra Kaspersky, der sporer kampagnen, beskrev trusselsaktøren i denne uge som at bruge flere samtidige forbindelser ind i offermiljøer for at opretholde persistens og stjæle data fra dem. De opdagede også et sæt nye værktøjer, som ToddyCat (som er et almindeligt navn for Asiatisk palmecivet) bruger til at muliggøre dataindsamling fra offersystemer og browsere.

Flere trafiktunneler i ToddyCat Cyberangreb

"At have flere tunneler til den inficerede infrastruktur implementeret med forskellige værktøjer gør det muligt for angriberne at bevare adgangen til systemer, selvom en af ​​tunnelerne bliver opdaget og elimineret," sagde Kaspersky-sikkerhedsforskere i en blogindlæg i denne uge. "Ved at sikre konstant adgang til infrastrukturen er [angriberne] i stand til at udføre rekognoscering og oprette forbindelse til fjernværter."

ToddyCat er en sandsynlig kinesisk-sproget trusselsaktør, som Kaspersky har været i stand til at forbinde med angreb, der går tilbage til mindst december 2020. I de indledende faser så gruppen ud til at være fokuseret på kun et lille antal organisationer i Taiwan og Vietnam. Men trusselsaktøren optrappede hurtigt angreb efter den offentlige offentliggørelse af den såkaldte ProxyLogon sårbarheder i Microsoft Exchange Server i februar 2021. Kaspersky mener, at ToddyCat kan have været blandt en gruppe trusselsaktører, der målrettede ProxyLogon-sårbarhederne selv før februar 2021, men siger, at de endnu ikke har fundet beviser til at understøtte denne formodning.  

I 2022, Kaspersky rapporteret finde ToddyCat-skuespillere ved hjælp af to sofistikerede nye malware-værktøjer døbt Samurai og Ninja til at distribuere China Chopper - en velkendt vare-webshell, der bruges i Microsoft Exchange Server-angrebene - på systemer, der tilhører ofre i Asien og Europa.

Opretholdelse af vedvarende adgang, frisk malware

Kasperskys seneste undersøgelse af ToddyCats aktiviteter viste, at trusselsaktørens taktik for at opretholde vedvarende fjernadgang til et kompromitteret netværk er at etablere flere tunneler til det ved hjælp af forskellige værktøjer. Disse omfatter brug af en omvendt SSH-tunnel for at få adgang til fjernnetværkstjenester; ved hjælp af SoftEther VPN, et open source-værktøj, der muliggør VPN-forbindelser via OpenVPN, L2TP/IPSec og andre protokoller; og ved at bruge en letvægtsagent (Ngrok) til at omdirigere kommando-og-kontrol fra en angriberstyret cloud-infrastruktur til at målrette værter i offermiljøet.

Derudover fandt Kaspersky-forskere ud af, at ToddyCat-aktører brugte en hurtig omvendt proxy-klient til at muliggøre adgang fra internettet til servere bag en firewall eller netværksadresseoversættelsesmekanisme (NAT).

Kasperskys undersøgelse viste også, at trusselsaktøren brugte mindst tre nye værktøjer i sin dataindsamlingskampagne. En af dem er malware, som Kaspersky havde døbt "Cuthead", der gør det muligt for ToddyCat at søge efter filer med specifikke udvidelser eller ord på offernetværket og gemme dem i et arkiv.

Et andet nyt værktøj, som Kaspersky fandt, at ToddyCat brugte, er "WAExp." Malwarens opgave er at søge efter og indsamle browserdata fra webversionen af ​​WhatsApp. 

"For brugere af WhatsApp-webappen indeholder deres lokale browserlager deres profiloplysninger, chatdata, telefonnumrene på brugere, de chatter med, og aktuelle sessionsdata," sagde Kaspersky-forskere. WAExp tillader angrebene at få adgang til disse data ved at kopiere browserens lokale lagerfiler, bemærkede sikkerhedsleverandøren.  

Det tredje værktøj er i mellemtiden døbt "TomBerBil", og giver ToddyCat-skuespillere mulighed for at stjæle adgangskoder fra Chrome- og Edge-browsere.

"Vi har set på flere værktøjer, der gør det muligt for angriberne at bevare adgangen til målinfrastrukturer og automatisk søge efter og indsamle data af interesse," sagde Kaspersky. "Angriberne bruger aktivt teknikker til at omgå forsvar i et forsøg på at maskere deres tilstedeværelse i systemet."

Sikkerhedsleverandøren anbefaler, at organisationer blokerer IP-adresser på skytjenester, der leverer trafiktunneling og begrænser de værktøjer, som administratorer kan bruge til at få fjernadgang til værter. Organisationer skal også enten fjerne eller nøje overvåge eventuelle ubrugte fjernadgangsværktøjer i miljøet og opfordre brugere til ikke at gemme adgangskoder i deres browsere, sagde Kaspersky.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-