مجموعة التهديدات المستمرة المتقدمة (APT). المعروف باسم ToddyCat تقوم بجمع البيانات على نطاق صناعي من الأهداف الحكومية والدفاعية في منطقة آسيا والمحيط الهادئ.
وصف باحثون من Kaspersky يتتبعون الحملة جهة التهديد هذا الأسبوع بأنها تستخدم اتصالات متزامنة متعددة في بيئات الضحايا للحفاظ على استمراريتها وسرقة البيانات منها. اكتشفوا أيضًا مجموعة من الأدوات الجديدة التي يستخدمها ToddyCat (وهو الاسم الشائع لـ الزباد الآسيوي) يستخدم لتمكين جمع البيانات من الأنظمة والمتصفحات الضحية.
أنفاق المرور المتعددة في هجمات ToddyCat الإلكترونية
وقال باحثون أمنيون في كاسبرسكي في تقرير: "إن وجود العديد من الأنفاق المؤدية إلى البنية التحتية المصابة والمنفذة بأدوات مختلفة يسمح للمهاجمين بالحفاظ على الوصول إلى الأنظمة حتى لو تم اكتشاف أحد الأنفاق وإزالته". مشاركة مدونة هذا الأسبوع. "من خلال تأمين الوصول المستمر إلى البنية التحتية، يستطيع المهاجمون إجراء الاستطلاع والاتصال بالمضيفين البعيدين."
ومن المحتمل أن يكون ToddyCat جهة تهديد ناطقة باللغة الصينية، وقد تمكنت كاسبرسكي من ربطها بهجمات تعود إلى ديسمبر 2020 على الأقل. وفي مراحلها الأولية، بدا أن المجموعة تركز على عدد صغير فقط من المنظمات في تايوان وفيتنام. لكن جهة التهديد سرعان ما كثفت هجماتها بعد الكشف العلني عما يسمى ثغرات ProxyLogon في Microsoft Exchange Server في فبراير 2021. وتعتقد Kaspersky أن ToddyCat ربما كان من بين مجموعة من الجهات التهديدية التي استهدفت ثغرات ProxyLogon حتى قبل فبراير 2021، لكنها تقول إنها لم تجد أدلة حتى الآن لدعم هذا التخمين.
في عام 2022، كاسبرسكي وذكرت العثور على الجهات الفاعلة ToddyCat باستخدام أداتان جديدتان ومتطورتان للبرامج الضارة أطلق عليها اسم Samurai and Ninja لتوزيع China Chopper - وهي عبارة عن غلاف ويب سلعي معروف تم استخدامه في هجمات Microsoft Exchange Server - على أنظمة مملوكة للضحايا في آسيا وأوروبا.
الحفاظ على الوصول المستمر والبرامج الضارة الجديدة
أظهر أحدث تحقيق أجرته كاسبرسكي في أنشطة ToddyCat أن تكتيك الجهة التهديدية للحفاظ على الوصول المستمر عن بعد إلى الشبكة المخترقة هو إنشاء أنفاق متعددة لها باستخدام أدوات مختلفة. يتضمن ذلك استخدام نفق SSH العكسي للوصول إلى خدمات الشبكة البعيدة؛ باستخدام SoftEther VPN، وهي أداة مفتوحة المصدر تتيح اتصالات VPN عبر OpenVPN وL2TP/IPSec والبروتوكولات الأخرى؛ واستخدام وكيل خفيف الوزن (Ngrok) لإعادة توجيه الأوامر والتحكم من البنية التحتية السحابية التي يتحكم فيها المهاجم إلى المضيفين المستهدفين في بيئة الضحية.
بالإضافة إلى ذلك، اكتشف باحثو كاسبرسكي أن الجهات الفاعلة في ToddyCat تستخدم عميل وكيل عكسي سريع لتمكين الوصول من الإنترنت إلى الخوادم الموجودة خلف جدار الحماية أو آلية ترجمة عنوان الشبكة (NAT).
وأظهر تحقيق كاسبرسكي أيضًا أن جهة التهديد تستخدم ثلاث أدوات جديدة على الأقل في حملة جمع البيانات الخاصة بها. أحدها عبارة عن برامج ضارة أطلق عليها Kaspersky اسم "Cuthead" والتي تسمح لـ ToddyCat بالبحث عن ملفات ذات امتدادات أو كلمات محددة على شبكة الضحية، وتخزينها في أرشيف.
هناك أداة جديدة أخرى وجد Kaspersky أن ToddyCat يستخدمها هي "WAExp". وتتمثل مهمة البرنامج الضار في البحث عن بيانات المتصفح وجمعها من إصدار الويب لتطبيق WhatsApp.
وقال باحثون في كاسبرسكي: "بالنسبة لمستخدمي تطبيق الويب WhatsApp، يحتوي التخزين المحلي للمتصفح الخاص بهم على تفاصيل ملفاتهم الشخصية وبيانات الدردشة وأرقام هواتف المستخدمين الذين يدردشون معهم وبيانات الجلسة الحالية". وأشار بائع الأمان إلى أن WAExp يسمح للهجمات بالوصول إلى هذه البيانات عن طريق نسخ ملفات التخزين المحلية للمتصفح.
وفي الوقت نفسه، يطلق على الأداة الثالثة اسم "TomBerBil"، وتسمح لممثلي ToddyCat بسرقة كلمات المرور من متصفحات Chrome وEdge.
وقال كاسبرسكي: "لقد بحثنا في العديد من الأدوات التي تسمح للمهاجمين بالحفاظ على الوصول إلى البنى التحتية المستهدفة والبحث تلقائيًا عن البيانات محل الاهتمام وجمعها". "يستخدم المهاجمون بشكل نشط تقنيات لتجاوز الدفاعات في محاولة لإخفاء وجودهم في النظام."
يوصي مورد الأمان المؤسسات بحظر عناوين IP للخدمات السحابية التي توفر نفق حركة المرور وتقييد الأدوات التي يمكن للمسؤولين استخدامها للوصول إلى المضيفين عن بُعد. وقالت كاسبرسكي إن المؤسسات تحتاج أيضًا إلى إزالة أو مراقبة أي أدوات وصول عن بعد غير مستخدمة في البيئة عن كثب وتشجيع المستخدمين على عدم تخزين كلمات المرور في متصفحاتهم.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
