ToddyCat APT краде дані в «промислових масштабах»

Розширена група постійних загроз (APT). відомий як ToddyCat збирає дані в промислових масштабах з державних і оборонних цілей в Азіатсько-Тихоокеанському регіоні.

Дослідники з Kaspersky, які відстежують кампанію, описали цього тижня загрозливого актора як використання кількох одночасних підключень до середовищ жертви для підтримки стійкості та викрадення даних з них. Вони також виявили набір нових інструментів, які ToddyCat (це загальна назва для Азіатська пальмова циветта) використовується, щоб увімкнути збір даних із систем і браузерів-жертв.

Кілька тунелів руху в кібератаках ToddyCat

«Наявність кількох тунелів до інфікованої інфраструктури, реалізованих за допомогою різних інструментів, дозволяє [] зловмисникам підтримувати доступ до систем, навіть якщо один із тунелів виявлено та знищено», — заявили дослідники безпеки Касперського в повідомлення в блозі цього тижня. «Забезпечуючи постійний доступ до інфраструктури, [зловмисники] можуть виконувати розвідку та підключатися до віддалених хостів».

ToddyCat — це, ймовірно, китайськомовний загрозливий актор, якого Касперський зміг пов’язати з атаками щонайменше в грудні 2020 року. На початкових етапах група зосередилася лише на невеликій кількості організацій у Тайвані та В’єтнамі. Але загрозливий актор швидко посилив атаки після публічного оприлюднення т. зв Уразливості ProxyLogon на сервері Microsoft Exchange Server у лютому 2021 року. Kaspersky вважає, що ToddyCat міг бути серед групи загроз, які були націлені на вразливості ProxyLogon ще до лютого 2021 року, але каже, що поки не знайшов доказів, щоб підтвердити це припущення.  

У 2022 році Касперський повідомляє пошук акторів ToddyCat за допомогою два нові складні інструменти зловмисного програмного забезпечення під назвою Samurai and Ninja для розповсюдження China Chopper — добре відомої товарної веб-оболонки, яка використовувалася в атаках на Microsoft Exchange Server — на системах, що належать жертвам в Азії та Європі.

Підтримка постійного доступу, свіже шкідливе програмне забезпечення

Останнє розслідування діяльності ToddyCat, проведене Касперським, показало, що тактика зловмисника для підтримки постійного віддаленого доступу до скомпрометованої мережі полягає у створенні кількох тунелів до неї за допомогою різних інструментів. Вони включають використання зворотного тунелю SSH для отримання доступу до віддалених мережевих служб; використання SoftEther VPN, інструменту з відкритим вихідним кодом, який забезпечує з’єднання VPN через OpenVPN, L2TP/IPSec та інші протоколи; і використання легкого агента (Ngrok) для перенаправлення команд і керування з контрольованої зловмисником хмарної інфраструктури на цільові хости в середовищі жертви.

Крім того, дослідники Kaspersky виявили, що актори ToddyCat використовують швидкий зворотний проксі-клієнт для забезпечення доступу з Інтернету до серверів за брандмауером або механізмом трансляції мережевих адрес (NAT).

Розслідування Касперського також показало, що зловмисник використовує щонайменше три нові інструменти у своїй кампанії зі збору даних. Одним із них є зловмисне програмне забезпечення, яке Касперський назвав «Cuthead», яке дозволяє ToddyCat шукати файли з певними розширеннями або словами в мережі жертви та зберігати їх в архіві.

Іншим новим інструментом, який Касперський знайшов у ToddyCat, є «WAExp». Завдання зловмисного програмного забезпечення полягає в пошуку та зборі даних браузера з веб-версії WhatsApp. 

«Для користувачів веб-додатку WhatsApp локальне сховище браузера містить дані профілю, дані чату, номери телефонів користувачів, з якими вони спілкуються, і дані поточного сеансу», — повідомили дослідники Kaspersky. WAExp дозволяє атакам отримати доступ до цих даних шляхом копіювання файлів локального сховища браузера, зазначив постачальник засобів безпеки.  

Третій інструмент отримав назву TomBerBil і дозволяє акторам ToddyCat викрадати паролі від браузерів Chrome і Edge.

«Ми розглянули кілька інструментів, які дозволяють зловмисникам підтримувати доступ до цільової інфраструктури та автоматично шукати та збирати цікаві дані», — сказав Касперський. «Зловмисники активно використовують методи обходу захисту, намагаючись приховати свою присутність у системі».

Постачальник безпеки рекомендує організаціям блокувати IP-адреси хмарних служб, які забезпечують тунелювання трафіку, і обмежувати інструменти, які адміністратори можуть використовувати для віддаленого доступу до хостів. За словами Касперського, організаціям також необхідно або видалити, або уважно стежити за будь-якими невикористаними інструментами віддаленого доступу в середовищі та заохочувати користувачів не зберігати паролі у своїх браузерах.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-