ToddyCat APT Mencuri Data 'Skala Industri'

Kelompok ancaman persisten tingkat lanjut (APT). dikenal sebagai ToddyCat sedang mengumpulkan data pada skala industri dari target pemerintah dan pertahanan di kawasan Asia-Pasifik.

Para peneliti dari Kaspersky yang melacak kampanye tersebut menggambarkan pelaku ancaman pada minggu ini menggunakan beberapa koneksi simultan ke lingkungan korban untuk mempertahankan persistensi dan mencuri data dari mereka. Mereka juga menemukan seperangkat alat baru yaitu ToddyCat (yang merupakan nama umum untuk musang palem asia) digunakan untuk mengaktifkan pengumpulan data dari sistem dan browser korban.

Beberapa Terowongan Lalu Lintas dalam Serangan Siber ToddyCat

“Memiliki beberapa terowongan ke infrastruktur yang terinfeksi yang diimplementasikan dengan alat berbeda memungkinkan penyerang untuk mempertahankan akses ke sistem bahkan jika salah satu terowongan ditemukan dan dihilangkan,” kata peneliti keamanan Kaspersky dalam sebuah pernyataan. posting blog minggu ini. “Dengan mengamankan akses konstan ke infrastruktur, penyerang dapat melakukan pengintaian dan terhubung ke host jarak jauh.”

ToddyCat kemungkinan adalah aktor ancaman berbahasa Mandarin yang dapat dikaitkan oleh Kaspersky dengan serangan setidaknya sejak Desember 2020. Pada tahap awal, kelompok ini tampaknya hanya berfokus pada sejumlah kecil organisasi di Taiwan dan Vietnam. Namun pelaku ancaman dengan cepat meningkatkan serangan setelah pengungkapan publik atas apa yang disebutnya Kerentanan ProxyLogon di Microsoft Exchange Server pada bulan Februari 2021. Kaspersky yakin ToddyCat mungkin termasuk di antara sekelompok pelaku ancaman yang menargetkan kerentanan ProxyLogon bahkan sebelum Februari 2021, namun mengatakan pihaknya belum menemukan bukti yang mendukung dugaan tersebut.  

Pada tahun 2022, Kaspersky melaporkan menemukan aktor ToddyCat menggunakan dua alat malware baru yang canggih dijuluki Samurai dan Ninja untuk mendistribusikan China Chopper — shell Web komoditas terkenal yang digunakan dalam serangan Microsoft Exchange Server — pada sistem milik korban di Asia dan Eropa.

Mempertahankan Akses Persisten, Malware Baru

Investigasi terbaru Kaspersky terhadap aktivitas ToddyCat menunjukkan bahwa taktik pelaku ancaman untuk mempertahankan akses jarak jauh yang persisten ke jaringan yang disusupi adalah dengan membangun beberapa terowongan ke jaringan tersebut menggunakan alat yang berbeda. Ini termasuk menggunakan terowongan SSH terbalik untuk mendapatkan akses ke layanan jaringan jarak jauh; menggunakan SoftEther VPN, alat sumber terbuka yang memungkinkan koneksi VPN melalui OpenVPN, L2TP/IPSec, dan protokol lainnya; dan menggunakan agen ringan (Ngrok) untuk mengalihkan perintah dan kontrol dari infrastruktur cloud yang dikendalikan penyerang ke host target di lingkungan korban.

Selain itu, peneliti Kaspersky menemukan pelaku ToddyCat menggunakan klien proksi terbalik cepat untuk mengaktifkan akses dari Internet ke server di belakang firewall atau mekanisme terjemahan alamat jaringan (NAT).

Investigasi Kaspersky juga menunjukkan pelaku ancaman menggunakan setidaknya tiga alat baru dalam kampanye pengumpulan datanya. Salah satunya adalah malware yang oleh Kaspersky dijuluki “Cuthead” yang memungkinkan ToddyCat mencari file dengan ekstensi atau kata tertentu di jaringan korban, dan menyimpannya dalam arsip.

Alat baru lainnya yang menurut Kaspersky digunakan oleh ToddyCat adalah “WAExp.” Tugas malware adalah mencari dan mengumpulkan data browser dari WhatsApp versi Web. 

“Bagi pengguna aplikasi web WhatsApp, penyimpanan lokal browser mereka berisi rincian profil, data obrolan, nomor telepon pengguna yang mereka ajak ngobrol, dan data sesi saat ini,” kata peneliti Kaspersky. WAExp memungkinkan serangan untuk mendapatkan akses ke data ini dengan menyalin file penyimpanan lokal browser, kata vendor keamanan.  

Alat ketiga dijuluki “TomBerBil,” dan memungkinkan aktor ToddyCat mencuri kata sandi dari browser Chrome dan Edge.

“Kami melihat beberapa alat yang memungkinkan penyerang mempertahankan akses ke infrastruktur target dan secara otomatis mencari dan mengumpulkan data yang diinginkan,” kata Kaspersky. “Para penyerang secara aktif menggunakan teknik untuk melewati pertahanan dalam upaya menutupi kehadiran mereka dalam sistem.”

Vendor keamanan merekomendasikan agar organisasi memblokir alamat IP layanan cloud yang menyediakan terowongan lalu lintas dan membatasi alat yang dapat digunakan administrator untuk mengakses host dari jarak jauh. Organisasi juga perlu menghapus atau memonitor dengan cermat setiap alat akses jarak jauh yang tidak digunakan di lingkungan dan mendorong pengguna untuk tidak menyimpan kata sandi di browser mereka, kata Kaspersky.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-