Un groupe de menaces persistantes avancées (APT) connu sous le nom de ToddyCat collecte des données à l’échelle industrielle auprès de cibles gouvernementales et de défense dans la région Asie-Pacifique.

Les chercheurs de Kaspersky qui suivent la campagne ont décrit cette semaine l'acteur malveillant comme utilisant plusieurs connexions simultanées dans les environnements des victimes pour maintenir la persistance et leur voler des données. Ils ont également découvert un ensemble de nouveaux outils que ToddyCat (qui est un nom commun pour le Civette de palmier asiatique) utilise pour permettre la collecte de données à partir des systèmes et des navigateurs des victimes.

Plusieurs tunnels de circulation dans les cyberattaques ToddyCat

"La mise en œuvre de plusieurs tunnels vers l'infrastructure infectée avec différents outils permet aux attaquants de maintenir l'accès aux systèmes même si l'un des tunnels est découvert et éliminé", ont déclaré les chercheurs en sécurité de Kaspersky dans un communiqué. article de blog cette semaine. "En garantissant un accès constant à l'infrastructure, [les] attaquants sont capables d'effectuer des reconnaissances et de se connecter à des hôtes distants."

ToddyCat est probablement un acteur menaçant parlant chinois que Kaspersky a pu associer à des attaques remontant au moins à décembre 2020. Au début, le groupe semblait se concentrer uniquement sur un petit nombre d'organisations à Taiwan et au Vietnam. Mais l’acteur menaçant a rapidement intensifié ses attaques après la divulgation publique de ce qu’on appelle Vulnérabilités ProxyLogon dans Microsoft Exchange Server en février 2021. Kaspersky pense que ToddyCat pourrait faire partie d'un groupe d'acteurs malveillants qui ont ciblé les vulnérabilités de ProxyLogon avant même février 2021, mais affirme n'avoir pas encore trouvé de preuves pour étayer cette conjecture.  

En 2022, Kaspersky rapporté trouver des acteurs ToddyCat en utilisant deux nouveaux outils malveillants sophistiqués surnommé Samurai et Ninja pour distribuer China Chopper – un shell Web bien connu utilisé dans les attaques du serveur Microsoft Exchange – sur les systèmes appartenant à des victimes en Asie et en Europe.

Maintien d'un accès persistant et de nouveaux logiciels malveillants

La dernière enquête de Kaspersky sur les activités de ToddyCat a montré que la tactique de l'acteur malveillant pour maintenir un accès à distance persistant à un réseau compromis consiste à établir plusieurs tunnels vers celui-ci à l'aide de différents outils. Il s'agit notamment de l'utilisation d'un tunnel SSH inversé pour accéder aux services réseau distants ; en utilisant SoftEther VPN, un outil open source qui permet des connexions VPN via OpenVPN, L2TP/IPSec et d'autres protocoles ; et l'utilisation d'un agent léger (Ngrok) pour rediriger la commande et le contrôle d'une infrastructure cloud contrôlée par un attaquant vers des hôtes cibles dans l'environnement de la victime.

En outre, les chercheurs de Kaspersky ont découvert que les acteurs de ToddyCat utilisaient un client proxy inverse rapide pour permettre l'accès depuis Internet aux serveurs derrière un pare-feu ou un mécanisme de traduction d'adresses réseau (NAT).

L'enquête de Kaspersky a également montré que l'acteur malveillant utilisait au moins trois nouveaux outils dans sa campagne de collecte de données. L'un d'eux est un malware que Kaspersky avait surnommé « Cuthead » qui permet à ToddyCat de rechercher des fichiers avec des extensions ou des mots spécifiques sur le réseau de la victime et de les stocker dans une archive.

Un autre nouvel outil que Kaspersky a découvert que ToddyCat utilisait est « WAExp ». La tâche du malware est de rechercher et de collecter les données du navigateur de la version Web de WhatsApp. 

"Pour les utilisateurs de l'application Web WhatsApp, le stockage local de leur navigateur contient les détails de leur profil, les données de discussion, les numéros de téléphone des utilisateurs avec lesquels ils discutent et les données de session en cours", ont déclaré les chercheurs de Kaspersky. WAExp permet aux attaques d'accéder à ces données en copiant les fichiers de stockage locaux du navigateur, a noté le fournisseur de sécurité.  

Le troisième outil, quant à lui, s'appelle « TomBerBil » et permet aux acteurs de ToddyCat de voler les mots de passe des navigateurs Chrome et Edge.

"Nous avons examiné plusieurs outils permettant aux attaquants de maintenir l'accès aux infrastructures cibles et de rechercher et collecter automatiquement les données qui les intéressent", a déclaré Kaspersky. "Les attaquants utilisent activement des techniques pour contourner les défenses afin de tenter de masquer leur présence dans le système."

Le fournisseur de sécurité recommande aux organisations de bloquer les adresses IP des services cloud qui assurent le tunneling du trafic et de limiter les outils que les administrateurs peuvent utiliser pour accéder aux hôtes à distance. Les organisations doivent également supprimer ou surveiller de près tous les outils d'accès à distance inutilisés dans l'environnement et encourager les utilisateurs à ne pas stocker de mots de passe dans leurs navigateurs, a déclaré Kaspersky.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-