Fejlett állandó fenyegetés (APT) csoport ToddyCat néven ismert ipari léptékű adatokat gyűjt az ázsiai-csendes-óceáni térség kormányzati és védelmi célpontjaitól.

A kampányt nyomon követő Kaspersky kutatói a héten úgy írták le a fenyegetőzőt, hogy több egyidejű kapcsolatot használt áldozati környezetekkel, hogy fenntartsa a kitartást és adatokat lopjon el tőlük. Felfedeztek egy sor új eszközt is, amelyet a ToddyCat (amely a Ázsiai tenyér civet) segítségével lehetővé teszi az adatgyűjtést az áldozatrendszerekből és böngészőkből.

Több forgalmi alagutak a ToddyCat kibertámadásokban

"A fertőzött infrastruktúrához különböző eszközökkel megvalósított több alagút lehetővé teszi a támadók számára, hogy fenntartsák a hozzáférést a rendszerekhez még akkor is, ha az egyik alagutat felfedezik és megszüntetik" - mondták a Kaspersky biztonsági kutatói. blogbejegyzés ezen a héten. "Az infrastruktúrához való folyamatos hozzáférés biztosításával [a] támadók felderítést hajthatnak végre, és csatlakozhatnak távoli gazdagépekhez."

A ToddyCat valószínűleg kínai nyelven beszélő fenyegetőző, akit a Kaspersky legalább 2020 decemberéig tartó támadásokhoz tudott kapcsolni. A kezdeti szakaszban úgy tűnt, hogy a csoport csak néhány tajvani és vietnami szervezetre összpontosított. Ám a fenyegetettség szereplője gyorsan támadásokat indított, miután nyilvánosságra került az ún ProxyLogon biztonsági rések A Kaspersky úgy véli, hogy a ToddyCat azon fenyegető szereplők közé tartozhatott, amelyek még 2021 februárja előtt is a ProxyLogon sebezhetőségét célozták meg, de azt állítja, hogy még nem talált bizonyítékot a feltételezés alátámasztására.  

2022-ben a Kaspersky jelentett ToddyCat színészek megtalálása segítségével két kifinomult új malware-eszköz Szamurájnak és Nindzsának nevezték el, hogy a China Choppert – a Microsoft Exchange Server támadásoknál használt jól ismert árucikk webhéjat – ázsiai és európai áldozatokhoz tartozó rendszereken terjesszék.

Folyamatos hozzáférés, friss rosszindulatú programok fenntartása

A Kaspersky legutóbbi, a ToddyCat tevékenységeivel kapcsolatos vizsgálata kimutatta, hogy a fenyegetettség szereplőinek taktikája a folyamatos távoli hozzáférés fenntartása érdekében egy kompromittált hálózathoz az, hogy több alagutat hoz létre a hálózathoz különböző eszközök segítségével. Ezek közé tartozik a fordított SSH-alagút használata a távoli hálózati szolgáltatások eléréséhez; a SoftEther VPN használata, egy nyílt forráskódú eszköz, amely lehetővé teszi a VPN-kapcsolatokat OpenVPN, L2TP/IPSec és más protokollokon keresztül; és egy könnyű ágens (Ngrok) használata a parancs és vezérlés átirányítására a támadó által vezérelt felhőinfrastruktúráról az áldozat környezetében lévő gazdagépekre.

Ezenkívül a Kaspersky kutatói azt találták, hogy a ToddyCat szereplői egy gyors fordított proxy klienst használnak, hogy lehetővé tegyék az internetről a tűzfal vagy hálózati címfordítási (NAT) mechanizmus mögötti szerverek elérését.

A Kaspersky vizsgálata azt is kimutatta, hogy a fenyegetettség szereplője legalább három új eszközt használt adatgyűjtési kampányában. Az egyik a Kaspersky által „Cuthead”-nek nevezett rosszindulatú program, amely lehetővé teszi a ToddyCat számára, hogy meghatározott kiterjesztésű vagy szavakkal rendelkező fájlokat keressen az áldozat hálózatán, és tárolja azokat egy archívumban.

Egy másik új eszköz, amelyet a Kaspersky a ToddyCat segítségével talált meg, a „WAExp”. A kártevő feladata a WhatsApp webes verziójának böngészőadatainak keresése és gyűjtése. 

"A WhatsApp webalkalmazás felhasználóinak böngészőjének helyi tárhelye tartalmazza a profiladatokat, a csevegési adatokat, a felhasználók telefonszámait, akikkel csevegnek, és az aktuális munkamenetadatokat" - mondták a Kaspersky kutatói. A WAExp lehetővé teszi, hogy a támadások hozzáférjenek ezekhez az adatokhoz a böngésző helyi tárolófájljainak másolásával – jegyezte meg a biztonsági gyártó.  

A harmadik eszköz eközben a „TomBerBil” nevet kapta, és lehetővé teszi a ToddyCat szereplői számára, hogy jelszavakat lopjanak a Chrome és Edge böngészőkből.

„Több olyan eszközt is megvizsgáltunk, amelyek lehetővé teszik a támadók számára, hogy fenntartsák a hozzáférést a célinfrastruktúrákhoz, és automatikusan megkeressék és összegyűjtsék az érdekes adatokat” – mondta Kaspersky. "A támadók aktívan használnak olyan technikákat, hogy megkerüljék a védelmet, hogy elfedjék jelenlétüket a rendszerben."

A biztonsági szállító azt javasolja, hogy a szervezetek blokkolják a felhőszolgáltatások IP-címeit, amelyek forgalmi alagutat biztosítanak, és korlátozzák a rendszergazdák által a gazdagépek távoli elérésére használható eszközöket. A Kaspersky szerint a szervezeteknek el kell távolítaniuk vagy szorosan figyelniük kell a környezetben lévő nem használt távoli hozzáférési eszközöket, és arra kell ösztönözniük a felhasználókat, hogy ne tároljanak jelszavakat a böngészőjükben.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-