ToddyCat APT varastaa tietoja teollisessa mittakaavassa

Kehittynyt jatkuva uhka (APT) -ryhmä tunnetaan nimellä ToddyCat kerää teollisessa mittakaavassa tietoja hallitus- ja puolustuskohteista Aasian ja Tyynenmeren alueella.

Kampanjaa seuranneen Kasperskyn tutkijat kuvasivat tällä viikolla uhkatekijän käyttäneen useita samanaikaisia ​​yhteyksiä uhriympäristöihin pysyvyyden ylläpitämiseksi ja tietojen varastamiseksi niistä. He löysivät myös joukon uusia työkaluja, jotka ToddyCat (joka on yleinen nimi Aasialainen palmu sivetti) käyttää tietojen keräämistä uhrijärjestelmistä ja selaimista.

Useita liikennetunneleita ToddyCat-verkkohyökkäyksissä

"Useiden tunneleiden käyttö tartunnan saaneeseen infrastruktuuriin eri työkaluilla mahdollistaa hyökkääjien pääsyn järjestelmiin, vaikka yksi tunneleista löydettäisiin ja poistettaisiin", Kasperskyn tietoturvatutkijat sanoivat. blogiviesti tällä viikolla. "Varmistamalla jatkuvan pääsyn infrastruktuuriin [hyökkääjät] pystyvät suorittamaan tiedustelua ja muodostamaan yhteyden etäisäntään."

ToddyCat on todennäköisesti kiinaa puhuva uhkatekijä, jonka Kaspersky on kyennyt linkittämään hyökkäyksiin ainakin joulukuussa 2020. Alkuvaiheessa ryhmä vaikutti keskittyneen vain muutamaan organisaatioon Taiwanissa ja Vietnamissa. Mutta uhkatoimija käynnisti nopeasti hyökkäyksiä ns ProxyLogon-haavoittuvuudet Microsoft Exchange Serverissä helmikuussa 2021. Kaspersky uskoo, että ToddyCat saattoi kuulua uhkatoimijoihin, jotka kohdistaivat ProxyLogon-haavoittuvuuksiin jo ennen helmikuuta 2021, mutta sanoo, ettei se ole vielä löytänyt todisteita tämän olettamuksen tueksi.  

Vuonna 2022 Kaspersky raportoitu ToddyCat-näyttelijöiden löytäminen käyttäen kaksi kehittynyttä uutta haittaohjelmatyökalua nimetty Samuraiksi ja Ninjaksi jakaakseen China Chopperin – Microsoft Exchange Server -hyökkäyksissä käytettyä tunnettua hyödykeverkkopohjaa – Aasian ja Euroopan uhrien järjestelmiin.

Jatkuva pääsy, tuoreet haittaohjelmat

Kasperskyn viimeisin tutkimus ToddyCatin toiminnasta osoitti, että uhkatoimijan taktiikka ylläpitää jatkuvaa etäkäyttöä vaarantuneeseen verkkoon on luoda useita tunneleita siihen eri työkaluilla. Näitä ovat muun muassa käänteisen SSH-tunnelin käyttö pääsyn etäverkkopalveluihin; käyttämällä SoftEther VPN:ää, avoimen lähdekoodin työkalua, joka mahdollistaa VPN-yhteydet OpenVPN:n, L2TP/IPSecin ja muiden protokollien kautta; ja käyttämällä kevyttä agenttia (Ngrok) ohjaamaan komento ja ohjaus hyökkääjän ohjaamasta pilviinfrastruktuurista kohdeyrityksiin uhriympäristössä.

Lisäksi Kaspersky-tutkijat havaitsivat, että ToddyCat-näyttelijät käyttävät nopeaa käänteistä välityspalvelinta mahdollistaakseen pääsyn Internetistä palomuurin tai verkko-osoitteen muunnosmekanismin (NAT) takana oleviin palvelimiin.

Kasperskyn tutkimus osoitti myös, että uhkatoimija käytti ainakin kolmea uutta työkalua tiedonkeruukampanjassaan. Yksi niistä on haittaohjelma, jolle Kaspersky oli nimennyt "Cuthead", jonka avulla ToddyCat voi etsiä uhriverkosta tiedostoja, joilla on tietyt päätteet tai sanat, ja tallentaa ne arkistoon.

Toinen uusi työkalu, jonka Kaspersky löysi ToddyCatin käyttävän, on "WAExp". Haittaohjelman tehtävänä on etsiä ja kerätä selaintietoja WhatsAppin verkkoversiosta. 

"WhatsApp-verkkosovelluksen käyttäjien selaimen paikallinen tallennustila sisältää profiilitiedot, chat-tiedot, niiden käyttäjien puhelinnumerot, joiden kanssa he keskustelevat, sekä nykyiset istuntotiedot", Kasperskyn tutkijat sanoivat. WAExp sallii hyökkäysten päästä käsiksi näihin tietoihin kopioimalla selaimen paikallisia tallennustiedostoja, tietoturvatoimittaja huomautti.  

Kolmas työkalu on nimeltään "TomBerBil", ja sen avulla ToddyCat-näyttelijät voivat varastaa salasanoja Chrome- ja Edge-selaimista.

"Tarkastelimme useita työkaluja, joiden avulla hyökkääjät voivat ylläpitää pääsyä kohdeinfrastruktuureihin ja automaattisesti etsiä ja kerätä kiinnostavia tietoja", Kaspersky sanoi. "Hyökkääjät käyttävät aktiivisesti tekniikoita ohittaakseen puolustuksen yrittääkseen peittää läsnäolonsa järjestelmässä."

Tietoturvatoimittaja suosittelee, että organisaatiot estävät liikenteen tunnelointia tarjoavien pilvipalvelujen IP-osoitteet ja rajoittavat työkaluja, joita järjestelmänvalvojat voivat käyttää isäntien etäkäyttöön. Organisaatioiden on myös joko poistettava tai tarkkailtava tiiviisti ympäristön käyttämättömät etäkäyttötyökalut ja kannustettava käyttäjiä olemaan tallentamatta salasanoja selaimiinsa, Kaspersky sanoi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-