Trusselsaktøren retter sig mod institutioner og virksomheder i Europa og Asien.
En gruppe med avanceret vedvarende trussel (APT), kaldet ToddyCat, menes at stå bag en række angreb rettet mod Microsoft Exchange-servere på højt profilerede regerings- og militærinstallationer i Asien og Europa. Kampagnerne begyndte ifølge forskere i december 2020 og har indtil nu stort set været dårligt forstået i deres kompleksitet.
"Den første bølge af angreb var udelukkende rettet mod Microsoft Exchange-servere, som blev kompromitteret med Samurai, en sofistikeret passiv bagdør, der normalt fungerer på porte 80 og 443," skrev Giampaolo Dedola sikkerhedsforsker hos Kaspersky, i en rapport, der skitserer APT.
Forskere sagde, at ToddyCat a er relativt ny APT, og der er "lidt information om denne skuespiller."
APT udnytter to passive bagdøre i Exchange Server-miljøet med malware kaldet Samurai og Ninja, som ifølge forskere bruges af modstanderne til at tage fuldstændig kontrol over ofrets hardware og netværk.
Samurai-malwaren var en del af en infektionskæde i flere stadier, som blev indledt af de berygtede China Chopper og er afhængig af web-skaller at droppe exploits på den valgte udvekslingsserver i Taiwan og Vietnam fra december 2020, rapporterer Kaspersky.
Forskerne udtalte, at malwaren "vilkårlig C#-kodeudførelse og bruges med flere moduler, der gør det muligt for angriberen at administrere fjernsystemet og bevæge sig sideværts inde i det målrettede netværk." I nogle tilfælde, sagde de, lægger Samurai-bagdøren vejen til at starte et andet ondsindet program kaldet Ninja.
Aspekter af ToddyCats trusselaktiviteter blev også sporet af cybersikkerhedsfirmaet ESET, som kaldte "klyngen af aktiviteter" set i naturen som Websiic. I mellemtiden identificerede forskere ved GTSC en anden del af gruppens infektionsvektorer og -teknikker i en rapport skitserer leveringen af malwarens dropper-kode.
"Når det er sagt, så vidt vi ved, beskrev ingen af de offentlige konti observationer af den fulde infektionskæde eller senere stadier af den malware, der blev implementeret som en del af denne gruppes drift," skrev Kaspersky.
Flere strenge af angreb på Exchange Server gennem årene
I perioden mellem december 2020 og februar 2021 blev den første bølge af angreb udført mod det begrænsede antal servere i Taiwan og Vietnam.
I den næste periode, mellem februar 2021 og maj 2021, observerede forskere en pludselig stigning i angreb. Det var da, sagde de, trusselsskuespilleren begyndte at misbruge ProxyLogon sårbarhed over for organisationer i flere lande, herunder Iran, Indien, Malaysia, Slovakiet, Rusland og Storbritannien.
Efter maj 2021 observerede forskerne de egenskaber, der er knyttet til den samme gruppe, som er rettet mod de tidligere nævnte lande samt militær- og regeringsorganisationer baseret i Indonesien, Usbekistan og Kirgisistan. Angrebsfladen i den tredje bølge er udvidet til desktop-systemer, mens omfanget tidligere kun var begrænset til Microsoft Exchange-servere.
Angrebssekvens
Angrebssekvensen påbegyndes efter implementeringen af China Chopper web shell-angrebssekvensen, som tillader dropperen at udføre og installere komponenterne og oprette flere registreringsnøgler.
Registreringsændringen i det foregående trin tvinger "svchost" til at indlæse et ondsindet bibliotek "iiswmi.dll" og udfører sin handling for at påkalde den tredje fase, hvor en ".Net loader" udfører og åbner Samurai-bagdøren.
Ifølge forskerne er Samurai-bagdøren svær at opdage under reverse engineering-processen, da den "skifter sager for at springe mellem instruktionerne og dermed udjævner kontrolflowet" og bruger sløringsteknikker.
I de specifikke hændelser blev det avancerede værktøj Ninja implementeret af Samurai for at koordinere og samarbejde flere operatører for at arbejde samtidigt på den samme maskine. Forskerne forklarede, at Ninja'en giver et stort sæt kommandoer, der gør det muligt for en angriber at "kontrollere fjernsystemer, undgå registrering og trænge dybt ind i et målrettet netværk".
Ninja deler ligheder med de andre post-udnyttelsesværktøjer som Cobalt strike med hensyn til muligheder og funktioner. Det kan "kontrollere HTTP-indikatorerne og camouflere ondsindet trafik i HTTP-anmodninger, der forekommer legitime ved at ændre HTTP-header og URL-stier," bemærkede forskeren.
ToddyCat-aktivitet udvides til kinesiske APT'er
Ifølge rapporten retter Kina-baserede hackere sig mod ofre for ToddyCat APT-banden inden for samme tidsramme. I disse tilfælde observerede forskere, at de kinesisksprogede hackere brugte en Exchange-bagdør kaldet FunnyDream.
"Dette overlap fangede vores opmærksomhed, da ToddyCat malware-klyngen sjældent ses i henhold til vores telemetri; og vi observerede de samme mål kompromitteret af begge APT'er i tre forskellige lande. Desuden var der i alle tilfælde en nærhed på iscenesættelsesstederne, og i et tilfælde brugte de den samme mappe,” skrev forskere.
Sikkerhedsforskerne mener, at på trods af 'den lejlighedsvise nærhed på iscenesættelsessteder', har de ikke noget konkret bevis, der viser sammenhængen mellem de to malware-familier.
"På trods af overlapningen føler vi os ikke sikre på at fusionere ToddyCat med FunnyDream-klyngen i øjeblikket," skrev Kaspersky. "I betragtning af den højprofilerede karakter af alle de ofre, vi opdagede, er det sandsynligt, at de var af interesse for flere APT-grupper," tilføjede rapporten.
"De berørte organisationer, både statslige og militære, viser, at denne gruppe er fokuseret på meget højprofilerede mål og sandsynligvis bruges til at nå kritiske mål, sandsynligvis relateret til geopolitiske interesser," skrev Kaspersky.
