Een groep voor geavanceerde persistente dreigingen (APT). bekend als ToddyCat verzamelt gegevens op industriële schaal van overheids- en defensiedoelen in de regio Azië-Pacific.

Onderzoekers van Kaspersky die de campagne volgden, beschreven deze week dat de bedreigingsacteur meerdere gelijktijdige verbindingen met slachtofferomgevingen gebruikte om de persistentie te behouden en gegevens van hen te stelen. Ze ontdekten ook een reeks nieuwe tools die ToddyCat (een veel voorkomende naam voor de Aziatische palm civet) wordt gebruikt om het verzamelen van gegevens uit slachtoffersystemen en browsers mogelijk te maken.

Meerdere verkeerstunnels in ToddyCat-cyberaanvallen

“Door verschillende tunnels naar de geïnfecteerde infrastructuur te implementeren met verschillende tools, kunnen aanvallers toegang behouden tot systemen, zelfs als een van de tunnels wordt ontdekt en geëlimineerd”, aldus beveiligingsonderzoekers van Kaspersky in een rapport. blogpost deze week. “Door constante toegang tot de infrastructuur te beveiligen, kunnen aanvallers verkenningen uitvoeren en verbinding maken met externe hosts.”

ToddyCat is waarschijnlijk een Chineessprekende bedreigingsacteur die Kaspersky heeft kunnen koppelen aan aanvallen die teruggaan tot ten minste december 2020. In de beginfase leek de groep zich te concentreren op slechts een klein aantal organisaties in Taiwan en Vietnam. Maar de bedreigingsacteur voerde de aanvallen snel op na de publieke onthulling van de zogenaamde ProxyLogon-kwetsbaarheden in Microsoft Exchange Server in februari 2021. Kaspersky denkt dat ToddyCat mogelijk tot een groep bedreigingsactoren behoorde die zich al vóór februari 2021 op de ProxyLogon-kwetsbaarheden richtten, maar zegt dat het nog geen bewijs heeft gevonden om dat vermoeden te staven.  

In 2022, Kaspersky gerapporteerd ToddyCat-acteurs vinden die gebruiken twee geavanceerde nieuwe malwaretools genaamd Samurai en Ninja om China Chopper – een bekende webshell die wordt gebruikt bij de Microsoft Exchange Server-aanvallen – te distribueren op systemen van slachtoffers in Azië en Europa.

Permanente toegang behouden, nieuwe malware

Kaspersky's laatste onderzoek naar de activiteiten van ToddyCat toonde aan dat de tactiek van de bedreigingsacteur om persistente toegang op afstand tot een gecompromitteerd netwerk te behouden bestaat uit het opzetten van meerdere tunnels ernaartoe met behulp van verschillende tools. Deze omvatten het gebruik van een omgekeerde SSH-tunnel om toegang te krijgen tot externe netwerkdiensten; gebruik van SoftEther VPN, een open source-tool die VPN-verbindingen mogelijk maakt via OpenVPN, L2TP/IPSec en andere protocollen; en het gebruik van een lichtgewicht agent (Ngrok) om command-and-control van een door de aanvaller bestuurde cloudinfrastructuur om te leiden naar hosts in de slachtofferomgeving.

Bovendien ontdekten onderzoekers van Kaspersky dat ToddyCat-acteurs een snelle reverse proxy-client gebruiken om toegang vanaf internet mogelijk te maken tot servers achter een firewall of een NAT-mechanisme (Network Address Translation).

Uit het onderzoek van Kaspersky bleek ook dat de bedreigingsacteur ten minste drie nieuwe tools gebruikte in zijn gegevensverzamelingscampagne. Eén daarvan is malware die Kaspersky ‘Cuthead’ noemde en waarmee ToddyCat naar bestanden met specifieke extensies of woorden op het slachtoffernetwerk kan zoeken en deze in een archief kan opslaan.

Een ander nieuw hulpmiddel dat Kaspersky ToddyCat heeft gevonden, is 'WAExp'. De taak van de malware is het zoeken naar en verzamelen van browsergegevens van de webversie van WhatsApp. 

“Voor gebruikers van de WhatsApp-webapp bevat de lokale opslag van hun browser hun profielgegevens, chatgegevens, de telefoonnummers van gebruikers met wie ze chatten en huidige sessiegegevens”, aldus Kaspersky-onderzoekers. Met WAExp kunnen de aanvallen toegang krijgen tot deze gegevens door de lokale opslagbestanden van de browser te kopiëren, merkte de beveiligingsleverancier op.  

De derde tool heet ondertussen ‘TomBerBil’ en stelt ToddyCat-acteurs in staat wachtwoorden te stelen uit Chrome- en Edge-browsers.

“We hebben naar verschillende tools gekeken waarmee aanvallers toegang kunnen behouden tot doelinfrastructuren en automatisch interessante gegevens kunnen zoeken en verzamelen”, aldus Kaspersky. “De aanvallers gebruiken actief technieken om de verdediging te omzeilen in een poging hun aanwezigheid in het systeem te maskeren.”

De beveiligingsleverancier raadt organisaties aan IP-adressen van clouddiensten die verkeerstunneling bieden te blokkeren en de tools te beperken die beheerders kunnen gebruiken om op afstand toegang te krijgen tot hosts. Organisaties moeten ook alle ongebruikte tools voor externe toegang in de omgeving verwijderen of nauwlettend in de gaten houden en gebruikers aanmoedigen om geen wachtwoorden in hun browsers op te slaan, aldus Kaspersky.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-