En avansert vedvarende trusselgruppe (APT). kjent som ToddyCat samler inn data i industriell skala fra regjerings- og forsvarsmål i Asia-Stillehavsregionen.

Forskere fra Kaspersky som sporer kampanjen beskrev trusselaktøren denne uken som å bruke flere samtidige forbindelser inn i offermiljøer for å opprettholde utholdenhet og for å stjele data fra dem. De oppdaget også et sett med nye verktøy som ToddyCat (som er et vanlig navn for Asiatisk palm civet) bruker for å aktivere datainnsamling fra offersystemer og nettlesere.

Flere trafikktunneler i ToddyCat cyberangrep

"Å ha flere tunneler til den infiserte infrastrukturen implementert med forskjellige verktøy gjør det mulig for angriperne å opprettholde tilgang til systemer selv om en av tunnelene blir oppdaget og eliminert," sa Kasperskys sikkerhetsforskere i en blogginnlegg denne uken. "Ved å sikre konstant tilgang til infrastrukturen, er [angriperne] i stand til å utføre rekognosering og koble til eksterne verter."

ToddyCat er en sannsynlig kinesisk-språklig trusselaktør som Kaspersky har vært i stand til å knytte til angrep som går tilbake til minst desember 2020. I de innledende stadiene så gruppen ut til å være fokusert på bare et lite antall organisasjoner i Taiwan og Vietnam. Men trusselaktøren rampet raskt opp angrep etter offentlig avsløring av den såkalte ProxyLogon-sårbarheter i Microsoft Exchange Server i februar 2021. Kaspersky mener ToddyCat kan ha vært blant en gruppe trusselaktører som målrettet ProxyLogon-sårbarhetene selv før februar 2021, men sier at de ikke har funnet bevis ennå for å sikkerhetskopiere den formodningen.  

I 2022, Kaspersky rapportert finne ToddyCat-skuespillere ved hjelp av to sofistikerte nye skadevareverktøy kalt Samurai og Ninja for å distribuere China Chopper - et velkjent varewebskall brukt i Microsoft Exchange Server-angrepene - på systemer som tilhører ofre i Asia og Europa.

Opprettholde vedvarende tilgang, fersk skadelig programvare

Kasperskys siste undersøkelse av ToddyCats aktiviteter viste at trusselaktørens taktikk for å opprettholde vedvarende ekstern tilgang til et kompromittert nettverk er å etablere flere tunneler til det ved hjelp av forskjellige verktøy. Disse inkluderer bruk av en omvendt SSH-tunnel for å få tilgang til eksterne nettverkstjenester; ved å bruke SoftEther VPN, et åpen kildekodeverktøy som muliggjør VPN-tilkoblinger via OpenVPN, L2TP/IPSec og andre protokoller; og bruke en lettvektsagent (Ngrok) for å omdirigere kommando-og-kontroll fra en angriperkontrollert skyinfrastruktur til målverter i offermiljøet.

I tillegg fant Kaspersky-forskere at ToddyCat-aktører bruker en rask omvendt proxy-klient for å muliggjøre tilgang fra Internett til servere bak en brannmur eller nettverksadresseoversettelsesmekanisme (NAT).

Kasperskys undersøkelse viste også at trusselaktøren brukte minst tre nye verktøy i sin datainnsamlingskampanje. En av dem er skadelig programvare som Kaspersky hadde kalt "Cuthead" som lar ToddyCat søke etter filer med spesifikke utvidelser eller ord på offernettverket og lagre dem i et arkiv.

Et annet nytt verktøy som Kaspersky fant ToddyCat ved å bruke er "WAExp." Skadevarens oppgave er å søke etter og samle nettleserdata fra nettversjonen av WhatsApp. 

"For brukere av WhatsApp-nettappen inneholder nettleserens lokale lagring profildetaljer, chattedata, telefonnumrene til brukere de chatter med og gjeldende øktdata," sa Kaspersky-forskere. WAExp lar angrepene få tilgang til disse dataene ved å kopiere nettleserens lokale lagringsfiler, bemerket sikkerhetsleverandøren.  

Det tredje verktøyet er i mellomtiden kalt "TomBerBil", og lar ToddyCat-skuespillere stjele passord fra Chrome- og Edge-nettlesere.

"Vi så på flere verktøy som lar angriperne opprettholde tilgang til målinfrastrukturer og automatisk søke etter og samle inn data av interesse," sa Kaspersky. "Angriperne bruker aktivt teknikker for å omgå forsvar i et forsøk på å maskere deres tilstedeværelse i systemet."

Sikkerhetsleverandøren anbefaler at organisasjoner blokkerer IP-adresser til skytjenester som gir trafikktunnelering og begrenser verktøyene som administratorer kan bruke for å få ekstern tilgang til verter. Organisasjoner må også enten fjerne eller nøye overvåke eventuelle ubrukte fjerntilgangsverktøy i miljøet og oppmuntre brukere til ikke å lagre passord i nettleserne sine, sa Kaspersky.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-