L’acteur menaçant cible les institutions et les entreprises en Europe et en Asie.
Un groupe de menaces persistantes avancées (APT), baptisé ToddyCat, serait à l'origine d'une série d'attaques ciblant les serveurs Microsoft Exchange d'installations gouvernementales et militaires de haut niveau en Asie et en Europe. Les campagnes, selon les chercheurs, ont débuté en décembre 2020 et ont jusqu’à présent été largement mal comprises dans leur complexité.
"La première vague d'attaques ciblait exclusivement les serveurs Microsoft Exchange, qui étaient compromis par Samurai, une porte dérobée passive sophistiquée qui fonctionne généralement sur les ports 80 et 443", a écrit Giampaolo Dedola, chercheur en sécurité chez Kaspersky., dans un rapport décrivant l'APT.
Les chercheurs ont déclaré que ToddyCat est une APT relativement nouvelle et qu’il existe « peu d’informations sur cet acteur ».
L’APT exploite deux portes dérobées passives au sein de l’environnement Exchange Server avec des logiciels malveillants appelés Samurai et Ninja, qui, selon les chercheurs, sont utilisés par les adversaires pour prendre le contrôle total du matériel et du réseau de la victime.
Le malware Samurai faisait partie d'une chaîne d'infection en plusieurs étapes initiée par le tristement célèbre China Chopper et s'appuie sur des web shells de supprimer les exploits sur le serveur d'échange sélectionné à Taiwan et au Vietnam à partir de décembre 2020, rapporte Kaspersky.
Les chercheurs ont déclaré que le malware « exécute arbitrairement du code C# et est utilisé avec plusieurs modules qui permettent à l’attaquant d’administrer le système distant et de se déplacer latéralement à l’intérieur du réseau ciblé ». Dans certains cas, ont-ils déclaré, la porte dérobée Samurai ouvre la voie au lancement d’un autre programme malveillant appelé Ninja.
Certains aspects des activités de menace de ToddyCat ont également été suivis par une société de cybersécurité. ESET, qui a surnommé le « groupe d’activités » observé dans la nature Websiic. Pendant ce temps, les chercheurs du GTSC ont identifié une autre partie des vecteurs et des techniques d’infection du groupe. dans un rapport décrivant la livraison du code dropper du malware.
"Cela dit, à notre connaissance, aucun des comptes publics n'a décrit l'observation de la chaîne complète de l'infection ou des étapes ultérieures du malware déployé dans le cadre des opérations de ce groupe", a écrit Kaspersky.
Plusieurs séries d'attaques sur le serveur Exchange au fil des ans
Entre décembre 2020 et février 2021, la première vague d’attaques a été menée contre un nombre limité de serveurs à Taiwan et au Vietnam.
Au cours de la période suivante, entre février 2021 et mai 2021, les chercheurs ont observé une soudaine recrudescence des attaques. C’est à ce moment-là, disent-ils, que l’auteur de la menace a commencé à abuser du Connexion proxy vulnérabilité aux organisations cibles dans plusieurs pays, notamment l’Iran, l’Inde, la Malaisie, la Slovaquie, la Russie et le Royaume-Uni.
Après mai 2021, les chercheurs ont observé des attributs liés au même groupe qui cible les pays précédemment cités ainsi que les organisations militaires et gouvernementales basées en Indonésie, en Ouzbékistan et au Kirghizistan. La surface d'attaque de la troisième vague est étendue aux systèmes de bureau, alors qu'auparavant, elle était limitée aux seuls serveurs Microsoft Exchange.
Séquence d'attaque
La séquence d'attaque est lancée après le déploiement de la séquence d'attaque du shell Web China Chopper, qui permet au dropper d'exécuter et d'installer les composants et de créer plusieurs clés de registre.
La modification du registre à l'étape précédente force « svchost » à charger une bibliothèque malveillante « iiswmi.dll » et exécute son action pour invoquer la troisième étape où un « chargeur .Net » s'exécute et ouvre la porte dérobée Samurai.
Selon les chercheurs, la porte dérobée Samurai est difficile à détecter pendant le processus d'ingénierie inverse, car elle « change de cas pour passer d'une instruction à l'autre, aplatissant ainsi le flux de contrôle » et utilise des techniques d'obscurcissement.
Dans les incidents spécifiques, l'outil avancé Ninja a été mis en œuvre par Samurai pour coordonner et collaborer avec plusieurs opérateurs afin qu'ils travaillent simultanément sur la même machine. Les chercheurs ont expliqué que Ninja fournit un large ensemble de commandes permettant à un attaquant de « contrôler des systèmes distants, d’éviter d’être détecté et de pénétrer profondément dans un réseau ciblé ».
Ninja partage des similitudes avec les autres boîtes à outils post-exploitation comme Cobalt Strike en termes de capacités et de fonctionnalités. Il peut « contrôler les indicateurs HTTP et camoufler le trafic malveillant dans les requêtes HTTP qui semblent légitimes en modifiant l’en-tête HTTP et les chemins d’URL », a noté le chercheur.
L'activité de ToddyCat s'étend aux APT chinoises
Selon le rapport, des pirates informatiques basés en Chine ciblent les victimes du gang ToddyCat APT dans le même laps de temps. Dans ces cas-là, les chercheurs ont observé que les pirates informatiques chinois utilisaient une porte dérobée Exchange appelée FunnyDream.
« Ce chevauchement a attiré notre attention, car le cluster de logiciels malveillants ToddyCat est rarement détecté selon notre télémétrie ; et nous avons observé les mêmes cibles compromises par les deux APT dans trois pays différents. De plus, dans tous les cas, il y avait une proximité dans les lieux de transit et dans un cas, ils utilisaient le même répertoire », ont écrit les chercheurs.
Les chercheurs en sécurité estiment que malgré la « proximité occasionnelle des lieux de transit », ils ne disposent d’aucune preuve concrète démontrant le lien entre les deux familles de logiciels malveillants.
"Malgré le chevauchement, nous ne sommes pas sûrs de fusionner ToddyCat avec le cluster FunnyDream pour le moment", a écrit Kaspersky. "Compte tenu du caractère très médiatisé de toutes les victimes que nous avons découvertes, il est probable qu'elles aient intéressé plusieurs groupes de l'APT", ajoute le rapport.
« Les organisations concernées, tant gouvernementales que militaires, montrent que ce groupe se concentre sur des cibles très médiatisées et est probablement utilisé pour atteindre des objectifs critiques, probablement liés à des intérêts géopolitiques », a écrit Kaspersky.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Gouvernement
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
- zéphyrnet
