Arenenud püsiva ohu (APT) rühm tuntud kui ToddyCat kogub tööstuslikus mastaabis andmeid Aasia ja Vaikse ookeani piirkonna valitsus- ja kaitseobjektidelt.
Kampaaniat jälginud Kaspersky teadlased kirjeldasid sel nädalal, et ähvardaja kasutas ohvrikeskkondadesse mitut samaaegset ühendust, et säilitada püsivust ja varastada neilt andmeid. Nad avastasid ka hulga uusi tööriistu, mida ToddyCat (mis on selle Aasia palmi tsiivet) kasutab ohvrisüsteemidest ja brauseritest andmete kogumise võimaldamiseks.
ToddyCati küberrünnakutes mitu liiklustunnelit
"Kui nakatunud infrastruktuuri viivad mitmed tunnelid, mis on rakendatud erinevate tööriistadega, võimaldavad ründajatel säilitada juurdepääsu süsteemidele isegi siis, kui üks tunnelitest avastatakse ja kõrvaldatakse," ütlesid Kaspersky turvauurijad. selle nädala blogipostitus. "Tagades pideva juurdepääsu infrastruktuurile, saavad ründajad teha luuret ja luua ühenduse kaughostidega."
ToddyCat on tõenäoliselt hiina keelt kõnelev ohutegija, keda Kaspersky on suutnud seostada rünnakutega, mis ulatusid tagasi vähemalt 2020. aasta detsembrisse. Algstaadiumis näis rühmitus keskendunud vaid vähesele arvule organisatsioonidele Taiwanis ja Vietnamis. Kuid ohunäitleja käivitas kiiresti rünnakud pärast nn ProxyLogoni haavatavused Microsoft Exchange Serveris 2021. aasta veebruaris. Kaspersky usub, et ToddyCat võis kuuluda ohustajate rühma, kes sihiks ProxyLogoni haavatavusi juba enne 2021. aasta veebruari, kuid väidab, et ta pole veel leidnud tõendeid selle oletuse kinnitamiseks.
Aastal 2022, Kaspersky teatatud kasutades ToddyCati näitlejaid kaks keerukat uut pahavara tööriista nimetati Samuraiks ja Ninjaks, et levitada Aasias ja Euroopas ohvritele kuuluvatel süsteemidel China Chopperit – Microsoft Exchange Serveri rünnakutes kasutatavat tuntud kaubaveebi kesta.
Püsiva juurdepääsu ja värske pahavara säilitamine
Kaspersky viimane ToddyCati tegevuse uurimine näitas, et ohus osaleja taktika ohustatud võrgule püsiva kaugjuurdepääsu säilitamiseks on luua sellesse erinevaid tööriistu kasutades mitu tunnelit. Nende hulka kuuluvad vastupidise SSH-tunneli kasutamine kaugvõrguteenustele juurdepääsu saamiseks; kasutades SoftEther VPN-i, avatud lähtekoodiga tööriista, mis võimaldab VPN-ühendusi OpenVPN-i, L2TP/IPSec-i ja muude protokollide kaudu; ja kergekaalulise agendi (Ngrok) kasutamine, et suunata käsud ja kontroll ründaja juhitud pilveinfrastruktuurilt ohvrikeskkonnas asuvatele hostidele.
Lisaks leidsid Kaspersky teadlased, et ToddyCati näitlejad kasutavad kiiret pöördpuhverserveri klienti, et võimaldada Internetist juurdepääsu tulemüüri või võrguaadressi tõlkimise (NAT) mehhanismi taga olevatele serveritele.
Kaspersky uurimine näitas ka, et ohustaja kasutas oma andmete kogumise kampaanias vähemalt kolme uut tööriista. Üks neist on pahavara, mille Kaspersky pani nimeks "Cuthead", mis võimaldab ToddyCatil otsida ohvrivõrgust kindlate laienditega või sõnadega faile ja salvestada need arhiivi.
Veel üks uus tööriist, mida Kaspersky leidis, et ToddyCat kasutab, on WAExp. Pahavara ülesanne on otsida ja koguda brauseri andmeid WhatsAppi veebiversioonist.
"WhatsAppi veebirakenduse kasutajate jaoks sisaldab nende brauseri kohalik salvestusruum nende profiili üksikasju, vestlusandmeid, nende kasutajate telefoninumbreid, kellega nad vestlevad, ja praeguseid seansiandmeid," ütlesid Kaspersky teadlased. WAExp võimaldab rünnakutel neile andmetele juurde pääseda, kopeerides brauseri kohalikud salvestusfailid, märkis turbemüüja.
Kolmas tööriist kannab vahepeal nime "TomBerBil" ja võimaldab ToddyCati näitlejatel varastada Chrome'i ja Edge'i brauserite paroole.
"Vaatasime mitmeid tööriistu, mis võimaldavad ründajatel säilitada juurdepääsu sihtinfrastruktuuridele ning automaatselt otsida ja koguda huvipakkuvaid andmeid," ütles Kaspersky. "Ründajad kasutavad aktiivselt kaitsemehhanismidest möödahiilimise tehnikaid, et varjata oma kohalolekut süsteemis."
Turvatarnija soovitab organisatsioonidel blokeerida pilveteenuste IP-aadressid, mis pakuvad liiklustunnelit ja piiravad tööriistu, mida administraatorid saavad hostidele kaugjuurdepääsuks kasutada. Samuti peavad organisatsioonid kas eemaldama või hoolikalt jälgima keskkonnas olevaid kasutamata kaugjuurdepääsu tööriistu ja julgustama kasutajaid oma brauseritesse paroole mitte salvestama, ütles Kaspersky.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
