En avansert vedvarende trusselgruppe (APT). kjent som ToddyCat samler inn data i industriell skala fra regjerings- og forsvarsmål i Asia-Stillehavsregionen.
Forskere fra Kaspersky som sporer kampanjen beskrev trusselaktøren denne uken som å bruke flere samtidige forbindelser inn i offermiljøer for å opprettholde utholdenhet og for å stjele data fra dem. De oppdaget også et sett med nye verktøy som ToddyCat (som er et vanlig navn for Asiatisk palm civet) bruker for å aktivere datainnsamling fra offersystemer og nettlesere.
Flere trafikktunneler i ToddyCat cyberangrep
"Å ha flere tunneler til den infiserte infrastrukturen implementert med forskjellige verktøy gjør det mulig for angriperne å opprettholde tilgang til systemer selv om en av tunnelene blir oppdaget og eliminert," sa Kasperskys sikkerhetsforskere i en blogginnlegg denne uken. "Ved å sikre konstant tilgang til infrastrukturen, er [angriperne] i stand til å utføre rekognosering og koble til eksterne verter."
ToddyCat er en sannsynlig kinesisk-språklig trusselaktør som Kaspersky har vært i stand til å knytte til angrep som går tilbake til minst desember 2020. I de innledende stadiene så gruppen ut til å være fokusert på bare et lite antall organisasjoner i Taiwan og Vietnam. Men trusselaktøren rampet raskt opp angrep etter offentlig avsløring av den såkalte ProxyLogon-sårbarheter i Microsoft Exchange Server i februar 2021. Kaspersky mener ToddyCat kan ha vært blant en gruppe trusselaktører som målrettet ProxyLogon-sårbarhetene selv før februar 2021, men sier at de ikke har funnet bevis ennå for å sikkerhetskopiere den formodningen.
I 2022, Kaspersky rapportert finne ToddyCat-skuespillere ved hjelp av to sofistikerte nye skadevareverktøy kalt Samurai og Ninja for å distribuere China Chopper - et velkjent varewebskall brukt i Microsoft Exchange Server-angrepene - på systemer som tilhører ofre i Asia og Europa.
Opprettholde vedvarende tilgang, fersk skadelig programvare
Kasperskys siste undersøkelse av ToddyCats aktiviteter viste at trusselaktørens taktikk for å opprettholde vedvarende ekstern tilgang til et kompromittert nettverk er å etablere flere tunneler til det ved hjelp av forskjellige verktøy. Disse inkluderer bruk av en omvendt SSH-tunnel for å få tilgang til eksterne nettverkstjenester; ved å bruke SoftEther VPN, et åpen kildekodeverktøy som muliggjør VPN-tilkoblinger via OpenVPN, L2TP/IPSec og andre protokoller; og bruke en lettvektsagent (Ngrok) for å omdirigere kommando-og-kontroll fra en angriperkontrollert skyinfrastruktur til målverter i offermiljøet.
I tillegg fant Kaspersky-forskere at ToddyCat-aktører bruker en rask omvendt proxy-klient for å muliggjøre tilgang fra Internett til servere bak en brannmur eller nettverksadresseoversettelsesmekanisme (NAT).
Kasperskys undersøkelse viste også at trusselaktøren brukte minst tre nye verktøy i sin datainnsamlingskampanje. En av dem er skadelig programvare som Kaspersky hadde kalt "Cuthead" som lar ToddyCat søke etter filer med spesifikke utvidelser eller ord på offernettverket og lagre dem i et arkiv.
Et annet nytt verktøy som Kaspersky fant ToddyCat ved å bruke er "WAExp." Skadevarens oppgave er å søke etter og samle nettleserdata fra nettversjonen av WhatsApp.
"For brukere av WhatsApp-nettappen inneholder nettleserens lokale lagring profildetaljer, chattedata, telefonnumrene til brukere de chatter med og gjeldende øktdata," sa Kaspersky-forskere. WAExp lar angrepene få tilgang til disse dataene ved å kopiere nettleserens lokale lagringsfiler, bemerket sikkerhetsleverandøren.
Det tredje verktøyet er i mellomtiden kalt "TomBerBil", og lar ToddyCat-skuespillere stjele passord fra Chrome- og Edge-nettlesere.
"Vi så på flere verktøy som lar angriperne opprettholde tilgang til målinfrastrukturer og automatisk søke etter og samle inn data av interesse," sa Kaspersky. "Angriperne bruker aktivt teknikker for å omgå forsvar i et forsøk på å maskere deres tilstedeværelse i systemet."
Sikkerhetsleverandøren anbefaler at organisasjoner blokkerer IP-adresser til skytjenester som gir trafikktunnelering og begrenser verktøyene som administratorer kan bruke for å få ekstern tilgang til verter. Organisasjoner må også enten fjerne eller nøye overvåke eventuelle ubrukte fjerntilgangsverktøy i miljøet og oppmuntre brukere til ikke å lagre passord i nettleserne sine, sa Kaspersky.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
- : har
- :er
- :ikke
- $OPP
- 2020
- 2021
- 2022
- 7
- a
- I stand
- adgang
- aktivt
- Aktiviteter
- aktører
- tillegg
- adresse
- adresser
- administratorer
- avansert
- Agent
- tillate
- tillater
- også
- blant
- an
- og
- noen
- app
- dukket opp
- APT
- Arkiv
- ER
- AS
- asia
- At
- Angrep
- forsøk
- automatisk
- tilbake
- BE
- vært
- bak
- mener
- tilhørighet
- Blokker
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- men
- by
- bypass
- Kampanje
- CAN
- chatte
- Kina
- Chrome
- kunde
- tett
- Cloud
- sky infrastruktur
- skytjenester
- samle
- Samle
- samling
- handelsvare
- Felles
- kompromittert
- formodninger
- Koble
- Tilkoblinger
- konstant
- inneholder
- kopiering
- Gjeldende
- cyberattacks
- dato
- Desember
- Forsvar
- forsvar
- beskrevet
- detaljer
- forskjellig
- avsløring
- oppdaget
- distribuere
- dubbet
- Edge
- enten
- eliminert
- muliggjøre
- muliggjør
- oppmuntre
- Miljø
- miljøer
- etablere
- Europa
- Selv
- bevis
- utveksling
- utvidelser
- FAST
- Februar
- Filer
- finne
- brannmur
- fokuserte
- etter
- Til
- funnet
- fersk
- fra
- Gevinst
- skal
- Regjeringen
- Gruppe
- HAD
- Ha
- å ha
- Vertskapet
- HTTPS
- if
- implementert
- in
- inkludere
- industriell
- infisert
- Infrastruktur
- infrastruktur
- innledende
- interesse
- Internet
- inn
- etterforskning
- IP
- IP-adresser
- IT
- DET ER
- jpg
- bare
- Kaspersky
- siste
- minst
- lettvekt
- Sannsynlig
- BEGRENSE
- LINK
- lokal
- så
- vedlikeholde
- Vedlike
- malware
- maske
- Mellomtiden
- mekanisme
- Microsoft
- kunne
- Overvåke
- flere
- navn
- Trenger
- nettverk
- Ny
- ninja
- bemerket
- Antall
- tall
- of
- on
- ONE
- åpen
- åpen kildekode
- or
- organisasjoner
- Annen
- Andre protokoller
- palm
- passord
- Utfør
- utholdenhet
- telefon
- plato
- Platon Data Intelligence
- PlatonData
- Post
- tilstedeværelse
- Før
- Profil
- protokoller
- gi
- proxy
- offentlig
- raskt
- anbefaler
- omdirigere
- region
- fjernkontroll
- fjerntilgang
- eksternt
- fjerne
- forskere
- reversere
- s
- Sa
- sier
- Skala
- Søk
- sikring
- sikkerhet
- server
- Servere
- Tjenester
- Session
- sett
- flere
- Shell
- viste
- liten
- sofistikert
- kilde
- sett
- spesifikk
- ssh
- stadier
- stjele
- stjele
- lagring
- oppbevare
- system
- Systemer
- Taiwan
- Target
- målrettet
- mål
- Oppgave
- teknikker
- Det
- De
- deres
- Dem
- Disse
- de
- Tredje
- denne
- denne uka
- trussel
- trusselaktører
- tre
- til
- verktøy
- verktøy
- Sporing
- trafikk
- Oversettelse
- tunnel
- ubrukt
- bruke
- brukt
- Brukere
- ved hjelp av
- leverandør
- versjon
- av
- Offer
- ofre
- Vietnam
- VPN
- Sikkerhetsproblemer
- we
- web
- uke
- velkjent
- hvilken
- Wikipedia
- med
- ord
- ennå
- zephyrnet