Группа продвинутых постоянных угроз (APT) известный как ТоддиКэт собирает данные в промышленных масштабах от правительственных и оборонных объектов в Азиатско-Тихоокеанском регионе.
Исследователи из «Лаборатории Касперского», отслеживающие кампанию, описали на этой неделе злоумышленника, который использовал несколько одновременных подключений к средам жертв для поддержания устойчивости и кражи у них данных. Они также обнаружили набор новых инструментов, которые ToddyCat (это общее название Азиатская пальмовая циветта) используется для включения сбора данных из систем и браузеров жертвы.
Множественные туннели трафика в кибератаках ToddyCat
«Наличие нескольких туннелей к зараженной инфраструктуре, реализованных с помощью различных инструментов, позволяет злоумышленникам сохранять доступ к системам, даже если один из туннелей будет обнаружен и устранен», — заявили исследователи безопасности «Лаборатории Касперского» в своем отчете. сообщение в блоге на этой неделе. «Обеспечивая постоянный доступ к инфраструктуре, злоумышленники могут проводить разведку и подключаться к удаленным хостам».
ToddyCat — вероятный китайскоязычный злоумышленник, которого Касперский смог связать с атаками, произошедшими как минимум в декабре 2020 года. На начальных этапах группа, похоже, сосредоточила внимание лишь на небольшом количестве организаций на Тайване и Вьетнаме. Но злоумышленник быстро активизировал атаки после публичного раскрытия так называемой Уязвимости ProxyLogon в Microsoft Exchange Server в феврале 2021 года. Касперский полагает, что ToddyCat мог входить в группу злоумышленников, атаковавших уязвимости ProxyLogon еще до февраля 2021 года, но заявляет, что пока не нашел доказательств, подтверждающих эту гипотезу.
В 2022 году Касперский переправу поиск актеров ToddyCat с помощью два сложных новых вредоносных инструмента под названием Samurai and Ninja для распространения China Chopper — известной стандартной веб-оболочки, используемой при атаках на сервер Microsoft Exchange, — на системах, принадлежащих жертвам в Азии и Европе.
Поддержание постоянного доступа, свежее вредоносное ПО
Последнее расследование деятельности ToddyCat, проведенное «Лабораторией Касперского», показало, что тактика злоумышленника для поддержания постоянного удаленного доступа к скомпрометированной сети заключается в создании к ней нескольких туннелей с использованием различных инструментов. К ним относятся использование обратного SSH-туннеля для получения доступа к удаленным сетевым службам; использование SoftEther VPN, инструмента с открытым исходным кодом, который обеспечивает VPN-соединения через OpenVPN, L2TP/IPSec и другие протоколы; и использование облегченного агента (Ngrok) для перенаправления управления и контроля из облачной инфраструктуры, контролируемой злоумышленником, на целевые хосты в среде жертвы.
Кроме того, исследователи «Лаборатории Касперского» обнаружили, что злоумышленники ToddyCat используют быстрый обратный прокси-клиент для обеспечения доступа из Интернета к серверам, находящимся за брандмауэром или механизмом трансляции сетевых адресов (NAT).
Расследование Касперского также показало, что злоумышленник использовал как минимум три новых инструмента в своей кампании по сбору данных. Одним из них является вредоносное ПО, которое Касперский назвал «Cuthead», которое позволяет ToddyCat искать файлы с определенными расширениями или словами в сети жертвы и сохранять их в архиве.
Еще один новый инструмент, который Касперский обнаружил в ToddyCat, — это «WAExp». Задача вредоносного ПО — поиск и сбор данных браузера из веб-версии WhatsApp.
«Для пользователей веб-приложения WhatsApp в локальном хранилище браузера хранятся данные их профиля, данные чата, номера телефонов пользователей, с которыми они общаются, и данные текущего сеанса», — говорят исследователи «Лаборатории Касперского». WAExp позволяет атакам получить доступ к этим данным путем копирования файлов локального хранилища браузера, отметил поставщик безопасности.
Между тем, третий инструмент получил название TomBerBil и позволяет злоумышленникам ToddyCat красть пароли из браузеров Chrome и Edge.
«Мы рассмотрели несколько инструментов, которые позволяют злоумышленникам сохранять доступ к целевым инфраструктурам и автоматически искать и собирать интересующие данные», — сказал Касперский. «Злоумышленники активно используют методы обхода защиты, пытаясь замаскировать свое присутствие в системе».
Поставщик средств безопасности рекомендует организациям блокировать IP-адреса облачных сервисов, обеспечивающих туннелирование трафика, и ограничивать инструменты, которые администраторы могут использовать для удаленного доступа к хостам. По словам Касперского, организациям также необходимо либо удалить, либо внимательно отслеживать любые неиспользуемые инструменты удаленного доступа в среде и рекомендовать пользователям не хранить пароли в своих браузерах.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
- :имеет
- :является
- :нет
- $UP
- 2020
- 2021
- 2022
- 7
- a
- в состоянии
- доступ
- активно
- активно
- актеры
- дополнение
- адрес
- адреса
- администраторы
- продвинутый
- Агент
- позволять
- позволяет
- причислены
- среди
- an
- и
- любой
- приложение
- появившийся
- APT
- архив
- МЫ
- AS
- Азия
- At
- нападки
- попытка
- автоматически
- назад
- BE
- было
- за
- считает,
- принадлежащий
- Заблокировать
- браузер
- браузеры
- но
- by
- байпас
- Кампания
- CAN
- чат
- Китай
- Chrome
- клиент
- тесно
- облако
- облачная инфраструктура
- облачные сервисы
- собирать
- Сбор
- лыжных шлемов
- товар
- Общий
- Ослабленный
- догадка
- Свяжитесь
- Коммутация
- постоянная
- содержит
- копирование
- Текущий
- кибератаки
- данным
- Декабрь
- Защита
- оборонительные сооружения
- описано
- подробнее
- различный
- раскрытие
- открытый
- распространять
- дублированный
- Edge
- или
- устранен
- включить
- позволяет
- поощрять
- Окружающая среда
- средах
- установить
- Европе
- Даже
- , поскольку большинство сенаторов
- обмена
- расширения
- БЫСТРО
- февраль
- Файлы
- обнаружение
- брандмауэр
- внимание
- после
- Что касается
- найденный
- свежий
- от
- Gain
- будет
- Правительство
- группы
- было
- Есть
- имеющий
- хостов
- HTTPS
- if
- в XNUMX году
- in
- включают
- промышленность
- инфицированный
- Инфраструктура
- инфраструктура
- начальный
- интерес
- Интернет
- в
- ходе расследования,
- IP
- IP-адреса
- IT
- ЕГО
- JPG
- всего
- Kaspersky
- последний
- наименее
- легкий
- Вероятно
- ОГРАНИЧЕНИЯ
- LINK
- локальным
- смотрел
- поддерживать
- Сохранение
- вредоносных программ
- маска
- Между тем
- механизм
- Microsoft
- может быть
- монитор
- с разными
- имя
- Необходимость
- сеть
- Новые
- ниндзя
- отметил,
- номер
- номера
- of
- on
- ONE
- открытый
- с открытым исходным кодом
- or
- организации
- Другое
- Другие протоколы
- ладонь
- пароли
- Выполнять
- настойчивость
- Телефон
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- После
- присутствие
- Предварительный
- Профиль
- протоколы
- обеспечивать
- полномочие
- что такое варган?
- быстро
- рекомендует
- переориентировать
- область
- удаленные
- удаленный доступ
- удаленно
- удаление
- исследователи
- обратный
- s
- Сказал
- говорит
- Шкала
- Поиск
- обеспечение
- безопасность
- сервер
- Серверы
- Услуги
- Сессия
- набор
- несколько
- Оболочка
- показал
- небольшой
- сложный
- Источник
- Говоря
- конкретный
- SSH
- этапы
- воровать
- кража
- диск
- магазин
- система
- системы
- Тайвань
- цель
- целевое
- направлена против
- Сложность задачи
- снижения вреда
- который
- Ассоциация
- их
- Их
- Эти
- они
- В третьих
- этой
- На этой неделе
- угроза
- актеры угрозы
- три
- в
- инструментом
- инструменты
- Отслеживание
- трафик
- Переводы
- тоннель
- неиспользованный
- использование
- используемый
- пользователей
- через
- продавец
- версия
- с помощью
- Жертва
- жертвы
- Вьетнам
- VPN
- Уязвимости
- we
- Web
- неделя
- известный
- который
- Википедия.
- слова
- еще
- зефирнет