Розширена група постійних загроз (APT). відомий як ToddyCat збирає дані в промислових масштабах з державних і оборонних цілей в Азіатсько-Тихоокеанському регіоні.
Дослідники з Kaspersky, які відстежують кампанію, описали цього тижня загрозливого актора як використання кількох одночасних підключень до середовищ жертви для підтримки стійкості та викрадення даних з них. Вони також виявили набір нових інструментів, які ToddyCat (це загальна назва для Азіатська пальмова циветта) використовується, щоб увімкнути збір даних із систем і браузерів-жертв.
Кілька тунелів руху в кібератаках ToddyCat
«Наявність кількох тунелів до інфікованої інфраструктури, реалізованих за допомогою різних інструментів, дозволяє [] зловмисникам підтримувати доступ до систем, навіть якщо один із тунелів виявлено та знищено», — заявили дослідники безпеки Касперського в повідомлення в блозі цього тижня. «Забезпечуючи постійний доступ до інфраструктури, [зловмисники] можуть виконувати розвідку та підключатися до віддалених хостів».
ToddyCat — це, ймовірно, китайськомовний загрозливий актор, якого Касперський зміг пов’язати з атаками щонайменше в грудні 2020 року. На початкових етапах група зосередилася лише на невеликій кількості організацій у Тайвані та В’єтнамі. Але загрозливий актор швидко посилив атаки після публічного оприлюднення т. зв Уразливості ProxyLogon на сервері Microsoft Exchange Server у лютому 2021 року. Kaspersky вважає, що ToddyCat міг бути серед групи загроз, які були націлені на вразливості ProxyLogon ще до лютого 2021 року, але каже, що поки не знайшов доказів, щоб підтвердити це припущення.
У 2022 році Касперський повідомляє пошук акторів ToddyCat за допомогою два нові складні інструменти зловмисного програмного забезпечення під назвою Samurai and Ninja для розповсюдження China Chopper — добре відомої товарної веб-оболонки, яка використовувалася в атаках на Microsoft Exchange Server — на системах, що належать жертвам в Азії та Європі.
Підтримка постійного доступу, свіже шкідливе програмне забезпечення
Останнє розслідування діяльності ToddyCat, проведене Касперським, показало, що тактика зловмисника для підтримки постійного віддаленого доступу до скомпрометованої мережі полягає у створенні кількох тунелів до неї за допомогою різних інструментів. Вони включають використання зворотного тунелю SSH для отримання доступу до віддалених мережевих служб; використання SoftEther VPN, інструменту з відкритим вихідним кодом, який забезпечує з’єднання VPN через OpenVPN, L2TP/IPSec та інші протоколи; і використання легкого агента (Ngrok) для перенаправлення команд і керування з контрольованої зловмисником хмарної інфраструктури на цільові хости в середовищі жертви.
Крім того, дослідники Kaspersky виявили, що актори ToddyCat використовують швидкий зворотний проксі-клієнт для забезпечення доступу з Інтернету до серверів за брандмауером або механізмом трансляції мережевих адрес (NAT).
Розслідування Касперського також показало, що зловмисник використовує щонайменше три нові інструменти у своїй кампанії зі збору даних. Одним із них є зловмисне програмне забезпечення, яке Касперський назвав «Cuthead», яке дозволяє ToddyCat шукати файли з певними розширеннями або словами в мережі жертви та зберігати їх в архіві.
Іншим новим інструментом, який Касперський знайшов у ToddyCat, є «WAExp». Завдання зловмисного програмного забезпечення полягає в пошуку та зборі даних браузера з веб-версії WhatsApp.
«Для користувачів веб-додатку WhatsApp локальне сховище браузера містить дані профілю, дані чату, номери телефонів користувачів, з якими вони спілкуються, і дані поточного сеансу», — повідомили дослідники Kaspersky. WAExp дозволяє атакам отримати доступ до цих даних шляхом копіювання файлів локального сховища браузера, зазначив постачальник засобів безпеки.
Третій інструмент отримав назву TomBerBil і дозволяє акторам ToddyCat викрадати паролі від браузерів Chrome і Edge.
«Ми розглянули кілька інструментів, які дозволяють зловмисникам підтримувати доступ до цільової інфраструктури та автоматично шукати та збирати цікаві дані», — сказав Касперський. «Зловмисники активно використовують методи обходу захисту, намагаючись приховати свою присутність у системі».
Постачальник безпеки рекомендує організаціям блокувати IP-адреси хмарних служб, які забезпечують тунелювання трафіку, і обмежувати інструменти, які адміністратори можуть використовувати для віддаленого доступу до хостів. За словами Касперського, організаціям також необхідно або видалити, або уважно стежити за будь-якими невикористаними інструментами віддаленого доступу в середовищі та заохочувати користувачів не зберігати паролі у своїх браузерах.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
- : має
- :є
- : ні
- $UP
- 2020
- 2021
- 2022
- 7
- a
- Здатний
- доступ
- активно
- діяльності
- актори
- доповнення
- адреса
- адреси
- Адміністратори
- просунутий
- Агент
- дозволяти
- дозволяє
- Також
- серед
- an
- та
- будь-який
- додаток
- з'явився
- APT
- архів
- ЕСТЬ
- AS
- Азія
- At
- нападки
- спроба
- автоматично
- назад
- BE
- було
- за
- вважає,
- належність
- Блокувати
- браузер
- браузери
- але
- by
- обходити
- Кампанія
- CAN
- чат
- Китай
- Chrome
- клієнт
- тісно
- хмара
- інфраструктура хмари
- хмарні сервіси
- збирати
- Збір
- збір
- товар
- загальний
- Компрометація
- припущення
- З'єднуватися
- Зв'язки
- постійна
- містить
- копіювання
- Поточний
- кібератаки
- дані
- Грудень
- оборони
- оборонні споруди
- описаний
- деталі
- різний
- розкриття
- відкритий
- поширювати
- охрестили
- край
- або
- усувається
- включіть
- дозволяє
- заохочувати
- Навколишнє середовище
- середовищах
- встановити
- Європа
- Навіть
- докази
- обмін
- Розширення
- ШВИДКО
- лютого
- Файли
- виявлення
- брандмауер
- увагу
- після
- для
- знайдений
- свіжий
- від
- Отримувати
- буде
- Уряд
- Group
- було
- Мати
- має
- хостів
- HTTPS
- if
- реалізовані
- in
- включати
- промислові
- заражений
- Інфраструктура
- інфраструктура
- початковий
- інтерес
- інтернет
- в
- дослідження
- IP
- IP-адреси
- IT
- ЙОГО
- JPG
- просто
- Kaspersky
- останній
- найменш
- легкий
- Ймовірно
- МЕЖА
- LINK
- місцевий
- подивився
- підтримувати
- Підтримка
- шкідливих програм
- маска
- Між тим
- механізм
- Microsoft
- може бути
- монітор
- множинний
- ім'я
- Необхідність
- мережу
- Нові
- ніндзя
- зазначив,
- номер
- номера
- of
- on
- ONE
- відкрити
- з відкритим вихідним кодом
- or
- організації
- Інше
- Інші протоколи
- долоню
- Паролі
- Виконувати
- наполегливість
- телефон
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- наявність
- попередній
- профіль
- протоколи
- забезпечувати
- повноваження
- громадськість
- швидко
- рекомендує
- переадресовувати
- регіон
- віддалений
- Віддалений доступ
- віддалено
- видаляти
- Дослідники
- зворотний
- s
- Зазначений
- говорить
- шкала
- Пошук
- забезпечення
- безпеку
- сервер
- Сервери
- Послуги
- Сесія
- комплект
- кілька
- Склад
- показав
- невеликий
- складний
- Source
- розмова
- конкретний
- SSH
- етапи
- красти
- крадіжка
- зберігання
- зберігати
- система
- Systems
- Taiwan
- Мета
- цільове
- цілі
- Завдання
- методи
- Що
- Команда
- їх
- Їх
- Ці
- вони
- третій
- це
- На цьому тижні
- загроза
- актори загроз
- три
- до
- інструмент
- інструменти
- Відстеження
- трафік
- Переклад
- тунель
- невикористаний
- використання
- використовуваний
- користувачі
- використання
- продавець
- версія
- через
- Жертва
- жертви
- В'єтнам
- VPN
- Уразливості
- we
- Web
- week
- добре відомі
- який
- Вікіпедія
- з
- слова
- ще
- зефірнет