กลุ่มภัยคุกคามถาวรขั้นสูง (APT) รู้จักในชื่อ ท็อดดี้แคท กำลังรวบรวมข้อมูลในระดับอุตสาหกรรมจากรัฐบาลและเป้าหมายด้านกลาโหมในภูมิภาคเอเชียแปซิฟิก
นักวิจัยจากแคสเปอร์สกี้ที่ติดตามแคมเปญนี้ บรรยายถึงผู้คุกคามในสัปดาห์นี้ว่าใช้การเชื่อมต่อหลายรายการพร้อมกันในสภาพแวดล้อมของเหยื่อ เพื่อรักษาความคงอยู่และขโมยข้อมูลจากพวกเขา พวกเขายังค้นพบชุดเครื่องมือใหม่ที่ ToddyCat (ซึ่งเป็นชื่อสามัญของ เอเชี่ยนปาล์มชะมด) ใช้เพื่อเปิดใช้งานการรวบรวมข้อมูลจากระบบและเบราว์เซอร์ของเหยื่อ
อุโมงค์จราจรหลายแห่งในการโจมตีทางไซเบอร์ของ ToddyCat
“การมีอุโมงค์หลายแห่งไปยังโครงสร้างพื้นฐานที่ติดไวรัสซึ่งใช้งานด้วยเครื่องมือที่แตกต่างกัน ทำให้ผู้โจมตีสามารถรักษาการเข้าถึงระบบได้ แม้ว่าอุโมงค์ใดอุโมงค์หนึ่งจะถูกค้นพบและกำจัดออกไปก็ตาม” นักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวใน บล็อกโพสต์ในสัปดาห์นี้- “ด้วยการรักษาความปลอดภัยการเข้าถึงโครงสร้างพื้นฐานอย่างต่อเนื่อง ผู้โจมตี [the] จึงสามารถทำการลาดตระเวนและเชื่อมต่อกับโฮสต์ระยะไกลได้”
ToddyCat เป็นภัยคุกคามที่พูดภาษาจีนได้ ซึ่ง Kaspersky สามารถเชื่อมโยงกับการโจมตีย้อนกลับไปอย่างน้อยเดือนธันวาคม 2020 ในระยะเริ่มแรก กลุ่มนี้ดูเหมือนจะมุ่งเน้นไปที่องค์กรจำนวนเล็กน้อยในไต้หวันและเวียดนาม แต่ผู้ก่อภัยคุกคามเพิ่มการโจมตีอย่างรวดเร็วหลังจากการเปิดเผยสิ่งที่เรียกว่านี้สู่สาธารณะ ช่องโหว่ของ ProxyLogon ใน Microsoft Exchange Server ในเดือนกุมภาพันธ์ 2021 Kaspersky เชื่อว่า ToddyCat อาจเป็นหนึ่งในกลุ่มผู้แสดงภัยคุกคามที่กำหนดเป้าหมายไปที่ช่องโหว่ของ ProxyLogon ก่อนเดือนกุมภาพันธ์ 2021 เสียด้วยซ้ำ แต่บอกว่ายังไม่พบหลักฐานที่สนับสนุนการคาดเดาดังกล่าว
ในปี 2022 แคสเปอร์สกี้ รายงาน การหานักแสดง ToddyCat ใช้ เครื่องมือมัลแวร์ใหม่อันซับซ้อนสองตัว ขนานนามว่า Samurai และ Ninja เพื่อจัดจำหน่าย China Chopper ซึ่งเป็นเว็บเชลล์สินค้าโภคภัณฑ์ที่รู้จักกันดีซึ่งใช้ในการโจมตี Microsoft Exchange Server บนระบบที่เป็นของเหยื่อในเอเชียและยุโรป
การรักษาการเข้าถึงแบบถาวร มัลแวร์ใหม่
การสืบสวนล่าสุดของ Kaspersky เกี่ยวกับกิจกรรมของ ToddyCat แสดงให้เห็นกลยุทธ์ของผู้คุกคามในการรักษาการเข้าถึงเครือข่ายที่ถูกบุกรุกจากระยะไกลอย่างต่อเนื่องคือการสร้างอุโมงค์หลายแห่งโดยใช้เครื่องมือที่แตกต่างกัน ซึ่งรวมถึงการใช้อุโมงค์ SSH แบบย้อนกลับเพื่อเข้าถึงบริการเครือข่ายระยะไกล ใช้ SoftEther VPN ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่เปิดใช้งานการเชื่อมต่อ VPN ผ่าน OpenVPN, L2TP/IPSec และโปรโตคอลอื่น ๆ และใช้เอเจนต์น้ำหนักเบา (Ngrok) เพื่อเปลี่ยนเส้นทางคำสั่งและการควบคุมจากโครงสร้างพื้นฐานคลาวด์ที่ควบคุมโดยผู้โจมตีไปยังโฮสต์เป้าหมายในสภาพแวดล้อมของเหยื่อ
นอกจากนี้ นักวิจัยของแคสเปอร์สกี้ยังพบว่านักแสดงของ ToddyCat ใช้ไคลเอ็นต์พร็อกซีย้อนกลับแบบรวดเร็วเพื่อให้สามารถเข้าถึงจากอินเทอร์เน็ตไปยังเซิร์ฟเวอร์ที่อยู่ด้านหลังกลไกไฟร์วอลล์หรือการแปลที่อยู่เครือข่าย (NAT)
การสืบสวนของแคสเปอร์สกี้ยังแสดงให้เห็นว่าผู้ก่อภัยคุกคามใช้เครื่องมือใหม่อย่างน้อยสามเครื่องมือในแคมเปญรวบรวมข้อมูล หนึ่งในนั้นคือมัลแวร์ที่ Kaspersky ขนานนามว่า “Cuthead” ซึ่งช่วยให้ ToddyCat ค้นหาไฟล์ที่มีนามสกุลหรือคำเฉพาะบนเครือข่ายของเหยื่อ และจัดเก็บไว้ในไฟล์เก็บถาวร
เครื่องมือใหม่อีกอย่างที่ Kaspersky พบว่า ToddyCat ใช้คือ “WAExp” หน้าที่ของมัลแวร์คือการค้นหาและรวบรวมข้อมูลเบราว์เซอร์จาก WhatsApp เวอร์ชันเว็บ
“สำหรับผู้ใช้เว็บแอป WhatsApp พื้นที่เก็บข้อมูลในเบราว์เซอร์ของพวกเขาประกอบด้วยรายละเอียดโปรไฟล์ ข้อมูลการแชท หมายเลขโทรศัพท์ของผู้ใช้ที่พวกเขาแชทด้วย และข้อมูลเซสชันปัจจุบัน” นักวิจัยของ Kaspersky กล่าว WAExp อนุญาตให้การโจมตีเข้าถึงข้อมูลนี้ได้โดยการคัดลอกไฟล์ที่จัดเก็บในเครื่องของเบราว์เซอร์ ผู้จำหน่ายระบบรักษาความปลอดภัยระบุ
เครื่องมือที่สามในขณะเดียวกันมีชื่อว่า "TomBerBil" และอนุญาตให้นักแสดง ToddyCat สามารถขโมยรหัสผ่านจากเบราว์เซอร์ Chrome และ Edge
“เราพิจารณาเครื่องมือหลายอย่างที่ช่วยให้ผู้โจมตีรักษาการเข้าถึงโครงสร้างพื้นฐานเป้าหมายและค้นหาและรวบรวมข้อมูลที่น่าสนใจโดยอัตโนมัติ” แคสเปอร์สกี้กล่าว “ผู้โจมตีกำลังใช้เทคนิคอย่างแข็งขันเพื่อหลีกเลี่ยงการป้องกันเพื่อพยายามปกปิดการปรากฏตัวของพวกเขาในระบบ”
ผู้จำหน่ายความปลอดภัยแนะนำให้องค์กรบล็อกที่อยู่ IP ของบริการคลาวด์ที่ให้ช่องทางการรับส่งข้อมูลและจำกัดเครื่องมือที่ผู้ดูแลระบบสามารถใช้เพื่อเข้าถึงโฮสต์จากระยะไกล องค์กรยังจำเป็นต้องลบหรือติดตามเครื่องมือการเข้าถึงระยะไกลที่ไม่ได้ใช้ในสภาพแวดล้อมอย่างใกล้ชิด และสนับสนุนให้ผู้ใช้ไม่เก็บรหัสผ่านไว้ในเบราว์เซอร์ Kaspersky กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 2020
- 2021
- 2022
- 7
- a
- สามารถ
- เข้า
- อย่างกระตือรือร้น
- กิจกรรม
- นักแสดง
- นอกจากนี้
- ที่อยู่
- ที่อยู่
- ผู้ดูแลระบบ
- สูง
- ตัวแทน
- อนุญาต
- ช่วยให้
- ด้วย
- ในหมู่
- an
- และ
- ใด
- app
- ปรากฏ
- APT
- เอกสารเก่า
- เป็น
- AS
- เอเชีย
- At
- การโจมตี
- ความพยายาม
- อัตโนมัติ
- กลับ
- BE
- รับ
- หลัง
- เชื่อ
- ซึ่งเป็นของ
- ปิดกั้น
- เบราว์เซอร์
- เบราว์เซอร์
- แต่
- by
- ทางอ้อม
- รณรงค์
- CAN
- พูดคุย
- สาธารณรัฐประชาชนจีน
- Chrome
- ไคลเอนต์
- อย่างใกล้ชิด
- เมฆ
- โครงสร้างพื้นฐานคลาวด์
- บริการคลาวด์
- รวบรวม
- การเก็บรวบรวม
- ชุด
- สินค้า
- ร่วมกัน
- ที่ถูกบุกรุก
- การคาดเดา
- เชื่อมต่อ
- การเชื่อมต่อ
- คงที่
- มี
- การทำสำเนา
- ปัจจุบัน
- cyberattacks
- ข้อมูล
- ธันวาคม
- ป้องกัน
- การป้องกัน
- อธิบาย
- รายละเอียด
- ต่าง
- การเปิดเผย
- ค้นพบ
- กระจาย
- ขนานนามว่า
- ขอบ
- ทั้ง
- ตัดออก
- ทำให้สามารถ
- ช่วยให้
- ส่งเสริม
- สิ่งแวดล้อม
- สภาพแวดล้อม
- สร้าง
- ยุโรป
- แม้
- หลักฐาน
- ตลาดแลกเปลี่ยน
- ส่วนขยาย
- FAST
- กุมภาพันธ์
- ไฟล์
- หา
- ไฟร์วอลล์
- มุ่งเน้น
- ดังต่อไปนี้
- สำหรับ
- พบ
- สด
- ราคาเริ่มต้นที่
- ได้รับ
- ไป
- รัฐบาล
- บัญชีกลุ่ม
- มี
- มี
- มี
- เจ้าภาพ
- HTTPS
- if
- การดำเนินการ
- in
- ประกอบด้วย
- อุตสาหกรรม
- ที่ติดเชื้อ
- โครงสร้างพื้นฐาน
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- อยากเรียนรู้
- อินเทอร์เน็ต
- เข้าไป
- การสอบสวน
- IP
- ที่อยู่ IP
- IT
- ITS
- jpg
- เพียงแค่
- Kaspersky
- ล่าสุด
- น้อยที่สุด
- มีน้ำหนักเบา
- น่าจะ
- LIMIT
- LINK
- ในประเทศ
- มอง
- เก็บรักษา
- การบำรุงรักษา
- มัลแวร์
- หน้ากาก
- ในขณะเดียวกัน
- กลไก
- ไมโครซอฟท์
- อาจ
- การตรวจสอบ
- หลาย
- ชื่อ
- จำเป็นต้อง
- เครือข่าย
- ใหม่
- นินจา
- เด่น
- จำนวน
- ตัวเลข
- of
- on
- ONE
- เปิด
- โอเพนซอร์ส
- or
- องค์กร
- อื่นๆ
- โปรโตคอลอื่นๆ
- ปาล์ม
- รหัสผ่าน
- ดำเนินการ
- วิริยะ
- โทรศัพท์
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โพสต์
- การมี
- ก่อน
- โปรไฟล์
- โปรโตคอล
- ให้
- หนังสือมอบฉันทะ
- สาธารณะ
- อย่างรวดเร็ว
- แนะนำ
- เปลี่ยนเส้นทาง
- ภูมิภาค
- รีโมท
- การเข้าถึงระยะไกล
- จากระยะไกล
- เอาออก
- นักวิจัย
- ย้อนกลับ
- s
- กล่าวว่า
- พูดว่า
- ขนาด
- ค้นหา
- การรักษา
- ความปลอดภัย
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- บริการ
- เซสชั่น
- ชุด
- หลาย
- เปลือก
- แสดงให้เห็นว่า
- เล็ก
- ซับซ้อน
- แหล่ง
- การพูด
- โดยเฉพาะ
- SSH
- ขั้นตอน
- ขโมย
- การขโมย
- การเก็บรักษา
- จัดเก็บ
- ระบบ
- ระบบ
- ไต้หวัน
- เป้า
- เป้าหมาย
- เป้าหมาย
- งาน
- เทคนิค
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- ที่สาม
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- การติดตาม
- การจราจร
- การแปลภาษา
- อุโมงค์
- ไม่ได้ใช้
- ใช้
- มือสอง
- ผู้ใช้
- การใช้
- ผู้ขาย
- รุ่น
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เวียดนาม
- VPN
- ช่องโหว่
- we
- เว็บ
- สัปดาห์
- โด่งดัง
- ที่
- วิกิพีเดีย
- กับ
- คำ
- ยัง
- ลมทะเล