ToddyCat APT kradnie dane na „skalę przemysłową”

Zaawansowana grupa trwałych zagrożeń (APT). znany jako ToddyCat zbiera dane na skalę przemysłową z celów rządowych i obronnych w regionie Azji i Pacyfiku.

Badacze z firmy Kaspersky, śledzący kampanię, opisali w tym tygodniu ugrupowanie zagrażające jako wykorzystujące wiele jednoczesnych połączeń ze środowiskami ofiar w celu utrzymania trwałości i kradzieży z nich danych. Odkryli także zestaw nowych narzędzi, które ToddyCat (powszechna nazwa azjatycki palmowy cywet) wykorzystuje w celu umożliwienia gromadzenia danych z systemów i przeglądarek ofiar.

Wiele tuneli komunikacyjnych w cyberatakach ToddyCat

„Posiadanie kilku tuneli prowadzących do zainfekowanej infrastruktury za pomocą różnych narzędzi pozwala atakującym zachować dostęp do systemów, nawet jeśli jeden z tuneli zostanie wykryty i wyeliminowany” – stwierdzili analitycy bezpieczeństwa z Kaspersky w badaniu wpis na blogu w tym tygodniu. „Zapewniając stały dostęp do infrastruktury, atakujący mogą przeprowadzać rekonesans i łączyć się ze zdalnymi hostami”.

ToddyCat to prawdopodobnie chińskojęzyczny ugrupowanie zagrażające, którego Kaspersky był w stanie powiązać z atakami mającymi miejsce co najmniej w grudniu 2020 r. Na początkowych etapach ugrupowanie wydawało się skupiać jedynie na niewielkiej liczbie organizacji na Tajwanie i w Wietnamie. Jednak ugrupowanie zagrażające szybko nasiliło ataki po publicznym ujawnieniu tzw Luki w zabezpieczeniach ProxyLogon w Microsoft Exchange Server w lutym 2021 r. Kaspersky uważa, że ​​ToddyCat mógł znajdować się w grupie cyberprzestępców, których celem były luki w zabezpieczeniach ProxyLogon jeszcze przed lutym 2021 r., ale twierdzi, że nie znalazł jeszcze dowodów na poparcie tego przypuszczenia.  

W 2022 r. Kaspersky zgłaszane znajdowanie aktorów ToddyCat za pomocą dwa wyrafinowane nowe narzędzia szkodliwego oprogramowania nazwany Samurai and Ninja, aby dystrybuować China Chopper — dobrze znaną powłokę internetową używaną w atakach na serwer Microsoft Exchange — na systemach należących do ofiar w Azji i Europie.

Utrzymywanie stałego dostępu, świeże złośliwe oprogramowanie

Najnowsze dochodzenie firmy Kaspersky dotyczące działalności ToddyCat wykazało, że taktyka ugrupowania zagrażającego mająca na celu utrzymanie trwałego zdalnego dostępu do zaatakowanej sieci polega na utworzeniu wielu tuneli prowadzących do niej przy użyciu różnych narzędzi. Należą do nich wykorzystanie zwrotnego tunelu SSH w celu uzyskania dostępu do zdalnych usług sieciowych; korzystanie z SoftEther VPN, narzędzia typu open source, które umożliwia połączenia VPN za pośrednictwem OpenVPN, L2TP/IPSec i innych protokołów; oraz wykorzystanie lekkiego agenta (Ngrok) do przekierowania poleceń i kontroli z infrastruktury chmurowej kontrolowanej przez atakującego na hosty w środowisku ofiary.

Ponadto badacze z Kaspersky odkryli, że aktorzy ToddyCat korzystają z szybkiego klienta zwrotnego proxy, aby umożliwić dostęp z Internetu do serwerów znajdujących się za zaporą ogniową lub mechanizmem translacji adresów sieciowych (NAT).

Dochodzenie firmy Kaspersky wykazało również, że ugrupowanie zagrażające wykorzystało co najmniej trzy nowe narzędzia w swojej kampanii polegającej na gromadzeniu danych. Jednym z nich jest szkodliwe oprogramowanie, które Kaspersky nazwał „Cuthead”, które umożliwia ToddyCatowi wyszukiwanie plików z określonymi rozszerzeniami lub słowami w sieci ofiary i przechowywanie ich w archiwum.

Kolejnym nowym narzędziem, które Kaspersky odkrył ToddyCat, jest „WAExp”. Zadaniem szkodliwego oprogramowania jest wyszukiwanie i zbieranie danych przeglądarki z internetowej wersji WhatsApp. 

„W przypadku użytkowników aplikacji internetowej WhatsApp lokalna pamięć przeglądarki zawiera szczegóły ich profili, dane czatów, numery telefonów użytkowników, z którymi rozmawiają, oraz dane bieżącej sesji” – twierdzą badacze z Kaspersky. Jak zauważył dostawca zabezpieczeń, WAExp umożliwia atakom uzyskanie dostępu do tych danych poprzez kopiowanie plików z lokalnej pamięci przeglądarki.  

Trzecie narzędzie nosi nazwę „TomBerBil” i umożliwia aktorom ToddyCat kradzież haseł z przeglądarek Chrome i Edge.

„Przyjrzeliśmy się kilku narzędziom, które pozwalają atakującym zachować dostęp do docelowej infrastruktury oraz automatycznie wyszukiwać i gromadzić interesujące dane” – powiedział Kaspersky. „Napastnicy aktywnie wykorzystują techniki omijania zabezpieczeń, próbując zamaskować swoją obecność w systemie”.

Dostawca zabezpieczeń zaleca, aby organizacje blokowały adresy IP usług w chmurze zapewniających tunelowanie ruchu i ograniczały narzędzia, których administratorzy mogą używać do zdalnego dostępu do hostów. Organizacje muszą także usunąć lub ściśle monitorować wszelkie nieużywane narzędzia dostępu zdalnego w środowisku i zachęcać użytkowników, aby nie przechowywali haseł w swoich przeglądarkach, powiedział Kaspersky.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-