Группа продвинутых постоянных угроз (APT) известный как ТоддиКэт собирает данные в промышленных масштабах от правительственных и оборонных объектов в Азиатско-Тихоокеанском регионе.
Исследователи из «Лаборатории Касперского», отслеживающие кампанию, описали на этой неделе злоумышленника, который использовал несколько одновременных подключений к средам жертв для поддержания устойчивости и кражи у них данных. Они также обнаружили набор новых инструментов, которые ToddyCat (это общее название Азиатская пальмовая циветта) используется для включения сбора данных из систем и браузеров жертвы.
Множественные туннели трафика в кибератаках ToddyCat
«Наличие нескольких туннелей к зараженной инфраструктуре, реализованных с помощью различных инструментов, позволяет злоумышленникам сохранять доступ к системам, даже если один из туннелей будет обнаружен и устранен», — заявили исследователи безопасности «Лаборатории Касперского» в своем отчете. сообщение в блоге на этой неделе. «Обеспечивая постоянный доступ к инфраструктуре, злоумышленники могут проводить разведку и подключаться к удаленным хостам».
ToddyCat — вероятный китайскоязычный злоумышленник, которого Касперский смог связать с атаками, произошедшими как минимум в декабре 2020 года. На начальных этапах группа, похоже, сосредоточила внимание лишь на небольшом количестве организаций на Тайване и Вьетнаме. Но злоумышленник быстро активизировал атаки после публичного раскрытия так называемой Уязвимости ProxyLogon в Microsoft Exchange Server в феврале 2021 года. Касперский полагает, что ToddyCat мог входить в группу злоумышленников, атаковавших уязвимости ProxyLogon еще до февраля 2021 года, но заявляет, что пока не нашел доказательств, подтверждающих эту гипотезу.
В 2022 году Касперский переправу поиск актеров ToddyCat с помощью два сложных новых вредоносных инструмента под названием Samurai and Ninja для распространения China Chopper — известной стандартной веб-оболочки, используемой при атаках на сервер Microsoft Exchange, — на системах, принадлежащих жертвам в Азии и Европе.
Поддержание постоянного доступа, свежее вредоносное ПО
Последнее расследование деятельности ToddyCat, проведенное «Лабораторией Касперского», показало, что тактика злоумышленника для поддержания постоянного удаленного доступа к скомпрометированной сети заключается в создании к ней нескольких туннелей с использованием различных инструментов. К ним относятся использование обратного SSH-туннеля для получения доступа к удаленным сетевым службам; использование SoftEther VPN, инструмента с открытым исходным кодом, который обеспечивает VPN-соединения через OpenVPN, L2TP/IPSec и другие протоколы; и использование облегченного агента (Ngrok) для перенаправления управления и контроля из облачной инфраструктуры, контролируемой злоумышленником, на целевые хосты в среде жертвы.
Кроме того, исследователи «Лаборатории Касперского» обнаружили, что злоумышленники ToddyCat используют быстрый обратный прокси-клиент для обеспечения доступа из Интернета к серверам, находящимся за брандмауэром или механизмом трансляции сетевых адресов (NAT).
Расследование Касперского также показало, что злоумышленник использовал как минимум три новых инструмента в своей кампании по сбору данных. Одним из них является вредоносное ПО, которое Касперский назвал «Cuthead», которое позволяет ToddyCat искать файлы с определенными расширениями или словами в сети жертвы и сохранять их в архиве.
Еще один новый инструмент, который Касперский обнаружил в ToddyCat, — это «WAExp». Задача вредоносного ПО — поиск и сбор данных браузера из веб-версии WhatsApp.
«Для пользователей веб-приложения WhatsApp в локальном хранилище браузера хранятся данные их профиля, данные чата, номера телефонов пользователей, с которыми они общаются, и данные текущего сеанса», — говорят исследователи «Лаборатории Касперского». WAExp позволяет атакам получить доступ к этим данным путем копирования файлов локального хранилища браузера, отметил поставщик безопасности.
Между тем, третий инструмент получил название TomBerBil и позволяет злоумышленникам ToddyCat красть пароли из браузеров Chrome и Edge.
«Мы рассмотрели несколько инструментов, которые позволяют злоумышленникам сохранять доступ к целевым инфраструктурам и автоматически искать и собирать интересующие данные», — сказал Касперский. «Злоумышленники активно используют методы обхода защиты, пытаясь замаскировать свое присутствие в системе».
Поставщик средств безопасности рекомендует организациям блокировать IP-адреса облачных сервисов, обеспечивающих туннелирование трафика, и ограничивать инструменты, которые администраторы могут использовать для удаленного доступа к хостам. По словам Касперского, организациям также необходимо либо удалить, либо внимательно отслеживать любые неиспользуемые инструменты удаленного доступа в среде и рекомендовать пользователям не хранить пароли в своих браузерах.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
