Το ToddyCat APT κλέβει δεδομένα σε «βιομηχανική κλίμακα»

Μια ομάδα προηγμένης επίμονης απειλής (APT). γνωστό ως ToddyCat συλλέγει δεδομένα σε βιομηχανική κλίμακα από κυβερνητικούς και αμυντικούς στόχους στην περιοχή Ασίας-Ειρηνικού.

Ερευνητές από την Kaspersky που παρακολουθούσαν την καμπάνια περιέγραψαν τον παράγοντα απειλής αυτή την εβδομάδα ότι χρησιμοποιεί πολλαπλές ταυτόχρονες συνδέσεις σε περιβάλλοντα θυμάτων για να διατηρήσει την επιμονή και να κλέψει δεδομένα από αυτά. Ανακάλυψαν επίσης ένα σύνολο νέων εργαλείων που το ToddyCat (το οποίο είναι ένα κοινό όνομα για το Ασιατικός φοίνικας) χρησιμοποιείται για να ενεργοποιήσει τη συλλογή δεδομένων από συστήματα θυμάτων και προγράμματα περιήγησης.

Πολλαπλές σήραγγες κυκλοφορίας σε κυβερνοεπιθέσεις ToddyCat

«Η ύπαρξη πολλών σηράγγων στη μολυσμένη υποδομή που υλοποιούνται με διαφορετικά εργαλεία επιτρέπει [στους] εισβολείς να διατηρήσουν την πρόσβαση στα συστήματα ακόμη και αν ένα από τα τούνελ ανακαλυφθεί και εξαλειφθεί», ανέφεραν οι ερευνητές ασφαλείας της Kaspersky σε μια δημοσίευση ιστολογίου αυτήν την εβδομάδα. "Με την εξασφάλιση συνεχούς πρόσβασης στην υποδομή, [οι] επιτιθέμενοι είναι σε θέση να πραγματοποιήσουν αναγνώριση και να συνδεθούν με απομακρυσμένους κεντρικούς υπολογιστές."

Ο ToddyCat είναι ένας πιθανός κινεζόφωνος παράγοντας απειλών, τον οποίο η Kaspersky μπόρεσε να συνδέσει με επιθέσεις τουλάχιστον από τον Δεκέμβριο του 2020. Στα αρχικά της στάδια, η ομάδα φαινόταν επικεντρωμένη σε έναν μικρό αριθμό οργανισμών στην Ταϊβάν και το Βιετνάμ. Αλλά ο ηθοποιός απειλών γρήγορα αύξησε τις επιθέσεις μετά τη δημόσια αποκάλυψη του λεγόμενου Ευπάθειες ProxyLogon στον Microsoft Exchange Server τον Φεβρουάριο του 2021. Η Kaspersky πιστεύει ότι η ToddyCat μπορεί να ήταν μεταξύ μιας ομάδας παραγόντων απειλών που στόχευαν τα τρωτά σημεία του ProxyLogon ακόμη και πριν από τον Φεβρουάριο του 2021, αλλά λέει ότι δεν έχει βρει ακόμη στοιχεία που να υποστηρίζουν αυτήν την εικασία.  

Το 2022, η Kaspersky αναφερθεί εύρεση ηθοποιών ToddyCat που χρησιμοποιούν δύο εξελιγμένα νέα εργαλεία κακόβουλου λογισμικού ονομάστηκε Samurai and Ninja για να διανείμει το China Chopper - ένα γνωστό κέλυφος Web εμπορευμάτων που χρησιμοποιείται στις επιθέσεις του Microsoft Exchange Server - σε συστήματα που ανήκουν σε θύματα στην Ασία και την Ευρώπη.

Διατήρηση μόνιμης πρόσβασης, νέο κακόβουλο λογισμικό

Η πιο πρόσφατη έρευνα της Kaspersky για τις δραστηριότητες της ToddyCat έδειξε ότι η τακτική του παράγοντα απειλής για τη διατήρηση της επίμονης απομακρυσμένης πρόσβασης σε ένα παραβιασμένο δίκτυο είναι η δημιουργία πολλαπλών τούνελ σε αυτό χρησιμοποιώντας διαφορετικά εργαλεία. Αυτά περιλαμβάνουν τη χρήση μιας αντίστροφης σήραγγας SSH για πρόσβαση σε απομακρυσμένες υπηρεσίες δικτύου. χρησιμοποιώντας το SoftEther VPN, ένα εργαλείο ανοιχτού κώδικα που επιτρέπει συνδέσεις VPN μέσω OpenVPN, L2TP/IPSec και άλλων πρωτοκόλλων. και χρησιμοποιώντας έναν ελαφρύ πράκτορα (Ngrok) για να ανακατευθύνει τις εντολές και τον έλεγχο από μια υποδομή cloud που ελέγχεται από τον εισβολέα για να στοχεύσει κεντρικούς υπολογιστές στο περιβάλλον του θύματος.

Επιπλέον, οι ερευνητές της Kaspersky ανακάλυψαν ότι οι ηθοποιοί του ToddyCat χρησιμοποιούν έναν γρήγορο πρόγραμμα-πελάτη με αντίστροφη μεσολάβηση για να επιτρέπουν την πρόσβαση από το Διαδίκτυο σε διακομιστές πίσω από ένα τείχος προστασίας ή μηχανισμό μετάφρασης διευθύνσεων δικτύου (NAT).

Η έρευνα της Kaspersky έδειξε επίσης ότι ο παράγοντας απειλής χρησιμοποιεί τουλάχιστον τρία νέα εργαλεία στην εκστρατεία συλλογής δεδομένων. Ένα από αυτά είναι κακόβουλο λογισμικό που η Kaspersky είχε ονομάσει "Cuthead" που επιτρέπει στον ToddyCat να αναζητά αρχεία με συγκεκριμένες επεκτάσεις ή λέξεις στο δίκτυο του θύματος και να τα αποθηκεύει σε ένα αρχείο.

Ένα άλλο νέο εργαλείο που η Kaspersky βρήκε ότι χρησιμοποιεί το ToddyCat είναι το "WAExp". Η αποστολή του κακόβουλου λογισμικού είναι να αναζητά και να συλλέγει δεδομένα προγράμματος περιήγησης από την έκδοση Web του WhatsApp. 

«Για τους χρήστες της εφαρμογής Ιστού WhatsApp, ο τοπικός αποθηκευτικός χώρος του προγράμματος περιήγησής τους περιέχει τα στοιχεία του προφίλ τους, τα δεδομένα συνομιλίας, τους αριθμούς τηλεφώνου των χρηστών με τους οποίους συνομιλούν και τα τρέχοντα δεδομένα συνεδρίας», ανέφεραν οι ερευνητές της Kaspersky. Το WAExp επιτρέπει στις επιθέσεις να αποκτήσουν πρόσβαση σε αυτά τα δεδομένα αντιγράφοντας τα αρχεία τοπικής αποθήκευσης του προγράμματος περιήγησης, σημείωσε ο προμηθευτής ασφαλείας.  

Το τρίτο εργαλείο εν τω μεταξύ ονομάζεται "TomBerBil" και επιτρέπει στους ηθοποιούς του ToddyCat να κλέβουν κωδικούς πρόσβασης από τα προγράμματα περιήγησης Chrome και Edge.

«Εξετάσαμε πολλά εργαλεία που επιτρέπουν στους επιτιθέμενους να διατηρούν πρόσβαση σε υποδομές στόχων και να αναζητούν και να συλλέγουν αυτόματα δεδομένα ενδιαφέροντος», είπε η Kaspersky. «Οι επιτιθέμενοι χρησιμοποιούν ενεργά τεχνικές για να παρακάμψουν τις άμυνες σε μια προσπάθεια να καλύψουν την παρουσία τους στο σύστημα».

Ο προμηθευτής ασφάλειας συνιστά στους οργανισμούς να αποκλείουν τις διευθύνσεις IP των υπηρεσιών cloud που παρέχουν διοχέτευση κυκλοφορίας και να περιορίζουν τα εργαλεία που μπορούν να χρησιμοποιήσουν οι διαχειριστές για απομακρυσμένη πρόσβαση σε κεντρικούς υπολογιστές. Οι οργανισμοί πρέπει επίσης είτε να αφαιρέσουν είτε να παρακολουθούν στενά τυχόν αχρησιμοποίητα εργαλεία απομακρυσμένης πρόσβασης στο περιβάλλον και να ενθαρρύνουν τους χρήστες να μην αποθηκεύουν κωδικούς πρόσβασης στα προγράμματα περιήγησής τους, είπε η Kaspersky.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-