Fejlett állandó fenyegetés (APT) csoport ToddyCat néven ismert ipari léptékű adatokat gyűjt az ázsiai-csendes-óceáni térség kormányzati és védelmi célpontjaitól.
A kampányt nyomon követő Kaspersky kutatói a héten úgy írták le a fenyegetőzőt, hogy több egyidejű kapcsolatot használt áldozati környezetekkel, hogy fenntartsa a kitartást és adatokat lopjon el tőlük. Felfedeztek egy sor új eszközt is, amelyet a ToddyCat (amely a Ázsiai tenyér civet) segítségével lehetővé teszi az adatgyűjtést az áldozatrendszerekből és böngészőkből.
Több forgalmi alagutak a ToddyCat kibertámadásokban
"A fertőzött infrastruktúrához különböző eszközökkel megvalósított több alagút lehetővé teszi a támadók számára, hogy fenntartsák a hozzáférést a rendszerekhez még akkor is, ha az egyik alagutat felfedezik és megszüntetik" - mondták a Kaspersky biztonsági kutatói. blogbejegyzés ezen a héten. "Az infrastruktúrához való folyamatos hozzáférés biztosításával [a] támadók felderítést hajthatnak végre, és csatlakozhatnak távoli gazdagépekhez."
A ToddyCat valószínűleg kínai nyelven beszélő fenyegetőző, akit a Kaspersky legalább 2020 decemberéig tartó támadásokhoz tudott kapcsolni. A kezdeti szakaszban úgy tűnt, hogy a csoport csak néhány tajvani és vietnami szervezetre összpontosított. Ám a fenyegetettség szereplője gyorsan támadásokat indított, miután nyilvánosságra került az ún ProxyLogon biztonsági rések A Kaspersky úgy véli, hogy a ToddyCat azon fenyegető szereplők közé tartozhatott, amelyek még 2021 februárja előtt is a ProxyLogon sebezhetőségét célozták meg, de azt állítja, hogy még nem talált bizonyítékot a feltételezés alátámasztására.
2022-ben a Kaspersky jelentett ToddyCat színészek megtalálása segítségével két kifinomult új malware-eszköz Szamurájnak és Nindzsának nevezték el, hogy a China Choppert – a Microsoft Exchange Server támadásoknál használt jól ismert árucikk webhéjat – ázsiai és európai áldozatokhoz tartozó rendszereken terjesszék.
Folyamatos hozzáférés, friss rosszindulatú programok fenntartása
A Kaspersky legutóbbi, a ToddyCat tevékenységeivel kapcsolatos vizsgálata kimutatta, hogy a fenyegetettség szereplőinek taktikája a folyamatos távoli hozzáférés fenntartása érdekében egy kompromittált hálózathoz az, hogy több alagutat hoz létre a hálózathoz különböző eszközök segítségével. Ezek közé tartozik a fordított SSH-alagút használata a távoli hálózati szolgáltatások eléréséhez; a SoftEther VPN használata, egy nyílt forráskódú eszköz, amely lehetővé teszi a VPN-kapcsolatokat OpenVPN, L2TP/IPSec és más protokollokon keresztül; és egy könnyű ágens (Ngrok) használata a parancs és vezérlés átirányítására a támadó által vezérelt felhőinfrastruktúráról az áldozat környezetében lévő gazdagépekre.
Ezenkívül a Kaspersky kutatói azt találták, hogy a ToddyCat szereplői egy gyors fordított proxy klienst használnak, hogy lehetővé tegyék az internetről a tűzfal vagy hálózati címfordítási (NAT) mechanizmus mögötti szerverek elérését.
A Kaspersky vizsgálata azt is kimutatta, hogy a fenyegetettség szereplője legalább három új eszközt használt adatgyűjtési kampányában. Az egyik a Kaspersky által „Cuthead”-nek nevezett rosszindulatú program, amely lehetővé teszi a ToddyCat számára, hogy meghatározott kiterjesztésű vagy szavakkal rendelkező fájlokat keressen az áldozat hálózatán, és tárolja azokat egy archívumban.
Egy másik új eszköz, amelyet a Kaspersky a ToddyCat segítségével talált meg, a „WAExp”. A kártevő feladata a WhatsApp webes verziójának böngészőadatainak keresése és gyűjtése.
"A WhatsApp webalkalmazás felhasználóinak böngészőjének helyi tárhelye tartalmazza a profiladatokat, a csevegési adatokat, a felhasználók telefonszámait, akikkel csevegnek, és az aktuális munkamenetadatokat" - mondták a Kaspersky kutatói. A WAExp lehetővé teszi, hogy a támadások hozzáférjenek ezekhez az adatokhoz a böngésző helyi tárolófájljainak másolásával – jegyezte meg a biztonsági gyártó.
A harmadik eszköz eközben a „TomBerBil” nevet kapta, és lehetővé teszi a ToddyCat szereplői számára, hogy jelszavakat lopjanak a Chrome és Edge böngészőkből.
„Több olyan eszközt is megvizsgáltunk, amelyek lehetővé teszik a támadók számára, hogy fenntartsák a hozzáférést a célinfrastruktúrákhoz, és automatikusan megkeressék és összegyűjtsék az érdekes adatokat” – mondta Kaspersky. "A támadók aktívan használnak olyan technikákat, hogy megkerüljék a védelmet, hogy elfedjék jelenlétüket a rendszerben."
A biztonsági szállító azt javasolja, hogy a szervezetek blokkolják a felhőszolgáltatások IP-címeit, amelyek forgalmi alagutat biztosítanak, és korlátozzák a rendszergazdák által a gazdagépek távoli elérésére használható eszközöket. A Kaspersky szerint a szervezeteknek el kell távolítaniuk vagy szorosan figyelniük kell a környezetben lévő nem használt távoli hozzáférési eszközöket, és arra kell ösztönözniük a felhasználókat, hogy ne tároljanak jelszavakat a böngészőjükben.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
- :van
- :is
- :nem
- $ UP
- 2020
- 2021
- 2022
- 7
- a
- Képes
- hozzáférés
- aktívan
- tevékenységek
- szereplők
- mellett
- cím
- címek
- adminisztrátorok
- fejlett
- Ügynök
- lehetővé
- lehetővé teszi, hogy
- Is
- között
- an
- és a
- bármilyen
- app
- megjelent
- APT
- Archív
- VANNAK
- AS
- Ázsia
- At
- Támadások
- kísérlet
- automatikusan
- vissza
- BE
- óta
- mögött
- úgy gondolja,
- tartozó
- Blokk
- böngésző
- böngészők
- de
- by
- kitérő
- Kampány
- TUD
- csevegés
- Kína
- króm
- vásárló
- szorosan
- felhő
- felhő infrastruktúra
- felhő szolgáltatások
- gyűjt
- Gyűjtő
- gyűjtemény
- árucikk
- Közös
- Veszélyeztetett
- sejtés
- Csatlakozás
- kapcsolatok
- állandó
- tartalmaz
- másolás
- Jelenlegi
- cyberattacks
- dátum
- december
- Védelem
- védések
- leírt
- részletek
- különböző
- közzététel
- felfedezett
- terjeszteni
- szinkronizált
- él
- bármelyik
- Eltüntetett
- lehetővé
- lehetővé teszi
- ösztönzése
- Környezet
- környezetek
- létrehozni
- Európa
- Még
- bizonyíték
- csere
- kiterjesztések
- GYORS
- február
- Fájlok
- megtalálása
- tűzfal
- összpontosított
- következő
- A
- talált
- friss
- ból ből
- Nyereség
- megy
- Kormány
- Csoport
- kellett
- Legyen
- tekintettel
- hosts
- HTTPS
- if
- végre
- in
- tartalmaz
- ipari
- fertőzött
- Infrastruktúra
- infrastruktúrák
- kezdetben
- kamat
- Internet
- bele
- vizsgálat
- IP
- IP-címeket
- IT
- ITS
- jpg
- éppen
- Kaspersky
- legutolsó
- legkevésbé
- könnyűsúlyú
- Valószínű
- LIMIT
- LINK
- helyi
- nézett
- fenntartása
- fenntartása
- malware
- maszk
- Közben
- mechanizmus
- microsoft
- esetleg
- monitor
- többszörös
- név
- Szükség
- hálózat
- Új
- Nindzsa
- neves
- szám
- számok
- of
- on
- ONE
- nyitva
- nyílt forráskódú
- or
- szervezetek
- Más
- Egyéb protokollok
- pálma
- jelszavak
- Teljesít
- kitartás
- telefon
- Plató
- Platón adatintelligencia
- PlatoData
- állás
- jelenlét
- Előzetes
- profil
- protokollok
- ad
- meghatalmazott
- nyilvános
- gyorsan
- ajánlja
- átirányítás
- vidék
- távoli
- távoli hozzáférés
- távolról
- eltávolítása
- kutatók
- fordított
- s
- Mondott
- azt mondja,
- Skála
- Keresés
- biztosítása
- biztonság
- szerver
- Szerverek
- Szolgáltatások
- ülés
- készlet
- számos
- Héj
- kimutatta,
- kicsi
- kifinomult
- forrás
- beszélő
- különleges
- ssh
- állapota
- lop
- lopás
- tárolás
- tárolni
- rendszer
- Systems
- Taiwan
- cél
- célzott
- célok
- Feladat
- technikák
- hogy
- A
- azok
- Őket
- Ezek
- ők
- Harmadik
- ezt
- ezen a héten
- fenyegetés
- fenyegetés szereplői
- három
- nak nek
- szerszám
- szerszámok
- Csomagkövetés
- forgalom
- Fordítás
- alagút
- felhasználatlan
- használ
- használt
- Felhasználók
- segítségével
- eladó
- változat
- keresztül
- Áldozat
- áldozatok
- Vietnám
- VPN
- sérülékenységek
- we
- háló
- hét
- jól ismert
- ami
- Wikipedia
- val vel
- szavak
- még
- zephyrnet