Istraživači kompanije Kaspersky izvestili su o tekućoj kampanji koju sprovodi ToddyCat – grupa naprednih pretnji (APT) koja se fokusira na kompromitovanje više Microsoft Exchange servera koristeći dva maliciozna programa – Samurai backdoor i Ninja Trojan. Kampanja je ciljano napadala državne i vojne sektore u Evropi i Aziji.
ToddyCat je relativno nova sofisticirana APT grupa, a istraživači kompanije Kaspersky su prvi razotkrili njihove aktivnosti u decembru 2020. godine, kada su izvršili brojne napade na Microsoft Exchange servere odabranih meta. Između februara i marta 2021. godine, Kaspersky je primetio eskalaciju aktivnosti kada je ToddyCat počeo da zloupotrebljava ProxyLogon ranjivost na Microsoft Exchange severima kako bi kompromitovao više organizacija širom Evrope i Azije. Od septembra 2021. godine, grupa se preorijentisala na desktop mašine različitih državnih i diplomatskih entiteta u Aziji. Grupa kontinuirano ažurira svoj arsenal i nastavlja sa napadima i u 2022. godini.
Ostaje nejasno koji je početni vektor infekcije za poslednje aktivnosti, ali su istraživači kompanije Kaspersky sproveli detaljnu analizu malware-a koji se koristi u ovim kampanjama. ToddyCat koristi Samurai Backdoor i Ninja Trojan, dva sofisticirana alata za sajber špijunažu koje je teško detektovati, dizajnirana tako da duboko prodiru u ciljane mreže.
Samurai je modularni backdoor, sastavna komponenta poslednje faze napada, koji omogućava napadaču da daljinski upravlja sistemom dok se “bočno“ kreće u kompromitovanoj mreži. Ovaj malware je specifičan po tome što zloupotrebljava više kontrolnih tokova i iskaza (case statements) za preskakanje između instrukcija, što otežava praćenje redosleda radnji u kodu. Dodatno se koristi za pokretanje novog malware-a pod nazivom Ninja Trojan, složenog alata koji omogućava da više operatera radi na jednoj mašini istovremeno.
Ninja Trojan pruža i veliki broj komandi što omogućava napadačima da daljinski kontrolišu sisteme izbegavajući detekciju. Ninja trojan se obično učitava u memoriju uređaja i pokreće prilikom različitih procesa učitavanja (loaders). Ovaj alat pokreće operaciju tako što preuzima konfigurisane parametre iz enkriptovanog payload-a, a zatim se infiltrira u kompromitovanu mrežu i omogućava brojne funkcije – upravljanje sistemima datoteka, pokretanje reverse shells-a, prosleđivanje TCP paketa, pa čak i preuzimanje kontrole nad mrežom u određenim vremenskim okvirima koji se mogu dinamički konfigurisati korišćenjem određene komande.
Ovaj malware podseća na druge poznate alatke za post-eksploataciju, kao što je CobaltStrike, osim što Ninja Trojan pruža mogućnost ograničenog broja direktnih konekcija ciljane mreže sa sistemima daljinske komande i kontrole bez pristupa internetu. Pored toga, može da kontroliše HTTP indikatore i da kamuflira maliciozni saobraćaj u HTTP zahtevima, kako bi se činili legitimnim. To se radi modifikovanjem HTTP header-a i URL putanja, zbog čega je Ninja Trojan specifično prikriven.
„ToddyCat je sofisticirana grupa sa većim tehničkim veštinama, sposobna da ostane neprimetna i da se infiltrira u sisteme visko pozicioniranih organizacija. Uprkos broju učitavanja (loaders) i napada otkrivenih tokom prošle godine, još uvek nemamo kompletnu preglednost njihovih operacija i taktika. Značajna karakteristika ToddyCat-a je fokusiranost na napredne mogućnosti malicioznog softvera – Ninja Trojan je dobio takvo ime s razlogom – teško ga je otkriti i teže zaustaviti. Najbolji način da se suprotstavite ovakvoj pretnji je upotreba višeslojne odbrane koja pruža informacije o internim sredstvima (assets) i u toku je sa najnovijim obaveštajnim podacima o potencijalnim pretnjama”, kaže Giampaolo Dedola, bezbednosni ekspert kompanije Kaspersky.
Da biste saznali više o ToddyCat-u, njihovim tehnikama i načinima kako da zaštitite svoju mrežu od njihovih napada, pročitajte Securelist izveštaj.
Da biste izbegli posledice ciljanog napada poznatog ili nepoznatog aktera, istraživači kompanije Kaspersky preporučuju sprovođenje sledećih mera:
- Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama (TI). Kaspersky Threat Intelligence Portal je jedinstvena tačka pristupa za TI kompanije, pružajući podatke o sajber napadima i uvide koje je Kaspersky prikupljao skoro 25 godina. Pristup odabranim funkcijama je besplatan što omogućava korisnicima da provere datoteke, URL i IP adrese. Više informacija možete pronaći ovde
- Osposobite svoj tim za sajber bezbednost, kako bi bili u pripravnosti za suočavanje sa najnovijim ciljanim pretnjama, uz Kaspersky onlajn obuku koju su razvili GReAT stručnjaci
- Za endpoint otkrivanje, istragu i blagovremeno otklanjanje incidenata, primenite EDR rešenja kao što su Kaspersky Endpoint Detection and Response
- Pored osnovne endpoint zaštite, implementirajte korporativno bezbednosno rešenje koje detektuje napredne pretnje u ranim fazama, poput Kaspersky Anti Targeted Attack Platform
- Mnogi ciljani napadi počinju fišingom ili drugim tehnikama socijalnog inženjeringa, zbog čega bi trebalo da uvedete bezbednosnu obuku i naučite vaš tim praktičnim veštinama – na primer, koristeći Kaspersky Automated Security Awareness Platform