קבוצת איום מתמשך (APT) מתקדם המכונה ToddyCat אוספת נתונים בקנה מידה תעשייתי מיעדי ממשל וביטחון באזור אסיה-פסיפיק.
חוקרים מקספרסקי שעוקבים אחר הקמפיין תיארו את שחקן האיום השבוע כמי שמשתמש במספר חיבורים בו-זמניים לתוך סביבות קורבנות כדי לשמור על התמדה וכדי לגנוב מהם נתונים. הם גם גילו סט של כלים חדשים ש-ToddyCat (שזה שם נפוץ ל- סיבט דקל אסיאתי) משתמש כדי לאפשר איסוף נתונים ממערכות ודפדפנים של הקורבן.
מנהרות תנועה מרובות במתקפות סייבר של ToddyCat
"היישום של מספר מנהרות לתשתית הנגועה בכלים שונים מאפשרים לתוקפים לשמור על גישה למערכות גם אם אחת המנהרות מתגלה ומבוטלת", אמרו חוקרי אבטחה של קספרסקי. פוסט בבלוג השבוע. "על ידי הבטחת גישה מתמדת לתשתית, התוקפים מסוגלים לבצע סיור ולהתחבר למארחים מרוחקים."
ToddyCat הוא כנראה שחקן איום דובר סינית שקספרסקי הצליח לקשר להתקפות שחזרו לפחות לדצמבר 2020. בשלבים הראשונים שלה, הקבוצה נראתה ממוקדת במספר קטן של ארגונים בטייוואן וויאטנם. אבל שחקן האיום הגביר במהירות התקפות בעקבות החשיפה הפומבית של מה שנקרא פרצות ProxyLogon ב-Microsoft Exchange Server בפברואר 2021. קספרסקי מאמין ש-ToddyCat עשוי היה להיות בין קבוצת גורמי איומים שהתמקדו בפגיעויות של ProxyLogon אפילו לפני פברואר 2021, אך אומר שהיא לא מצאה עדיין ראיות לגבות את ההשערה הזו.
בשנת 2022, קספרסקי דיווח מציאת שחקנים של ToddyCat באמצעות שני כלי תוכנה מתוחכמים חדשים כינו את סמוראי ונינג'ה כדי להפיץ את צ'יינה צ'ופר - מעטפת אינטרנט ידועה המשמשת בהתקפות Microsoft Exchange Server - על מערכות השייכות לקורבנות באסיה ובאירופה.
שמירה על גישה מתמשכת, תוכנות זדוניות טריות
החקירה האחרונה של קספרסקי על הפעילות של ToddyCat הראתה שהטקטיקה של שחקן האיום לשמור על גישה מרחוק מתמשכת לרשת שנפגעה היא הקמת מנהרות מרובות אליה באמצעות כלים שונים. אלה כוללים שימוש במנהרת SSH הפוכה כדי לקבל גישה לשירותי רשת מרוחקים; שימוש ב-SoftEther VPN, כלי קוד פתוח המאפשר חיבורי VPN באמצעות OpenVPN, L2TP/IPSec ופרוטוקולים אחרים; ושימוש בסוכן קל משקל (Ngrok) כדי להפנות מחדש את הפקודה והשליטה מתשתית ענן הנשלטת על ידי תוקף למיקוד מארחים בסביבת הקורבן.
בנוסף, חוקרי קספרסקי מצאו שחקני ToddyCat משתמשים בלקוח פרוקסי הפוך מהיר כדי לאפשר גישה מהאינטרנט לשרתים מאחורי חומת אש או מנגנון תרגום כתובות רשת (NAT).
החקירה של קספרסקי גם הראתה ששחקן האיום משתמש לפחות בשלושה כלים חדשים במסע איסוף הנתונים שלו. אחת מהן היא תוכנה זדונית שקספרסקי כינה "Cuthead" המאפשרת ל-ToddyCat לחפש קבצים עם הרחבות או מילים ספציפיות ברשת הקורבן, ולאחסן אותם בארכיון.
כלי חדש נוסף שבו מצא קספרסקי את ToddyCat באמצעות הוא "WAExp." המשימה של התוכנה הזדונית היא לחפש ולאסוף נתוני דפדפן מגרסת האינטרנט של WhatsApp.
"עבור משתמשים באפליקציית האינטרנט של WhatsApp, האחסון המקומי של הדפדפן שלהם מכיל את פרטי הפרופיל שלהם, נתוני צ'אט, מספרי טלפון של משתמשים איתם הם משוחחים ונתוני הפעלה נוכחיים", אמרו חוקרי קספרסקי. WAExp מאפשר למתקפות לקבל גישה לנתונים אלה על ידי העתקת קבצי האחסון המקומיים של הדפדפן, ציין ספק האבטחה.
הכלי השלישי מכונה בינתיים "TomBerBil", ומאפשר לשחקני ToddyCat לגנוב סיסמאות מדפדפני Chrome ו-Edge.
"בדקנו כמה כלים המאפשרים לתוקפים לשמור על גישה לתשתיות יעד ולחפש ולאסוף נתונים מעניינים באופן אוטומטי", אמר קספרסקי. "התוקפים משתמשים באופן פעיל בטכניקות לעקוף הגנות בניסיון להסוות את נוכחותם במערכת."
ספק האבטחה ממליץ לארגונים לחסום כתובות IP של שירותי ענן המספקים מנהור תעבורה ולהגביל את הכלים שבהם מנהלי מערכת יכולים להשתמש כדי לגשת למארחים מרחוק. ארגונים צריכים גם להסיר או לפקח מקרוב על כל כלי גישה מרחוק שאינם בשימוש בסביבה ולעודד משתמשים לא לאחסן סיסמאות בדפדפנים שלהם, אמר קספרסקי.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
