Un gruppo APT (Advanced Persistent Threat). conosciuto come ToddyCat sta raccogliendo dati su scala industriale da obiettivi governativi e di difesa nella regione Asia-Pacifico.
I ricercatori di Kaspersky che hanno seguito la campagna hanno descritto questa settimana l'autore della minaccia utilizzare più connessioni simultanee negli ambienti delle vittime per mantenere la persistenza e rubare loro dati. Hanno anche scoperto una serie di nuovi strumenti che ToddyCat (che è un nome comune per il file Zibetto di palma asiatico) viene utilizzato per consentire la raccolta di dati dai sistemi e dai browser delle vittime.
Tunnel di traffico multipli negli attacchi informatici ToddyCat
"Avere diversi tunnel verso l'infrastruttura infetta implementati con strumenti diversi consente agli aggressori di mantenere l'accesso ai sistemi anche se uno dei tunnel viene scoperto ed eliminato", hanno affermato i ricercatori di sicurezza di Kaspersky in una nota. post sul blog di questa settimana. “Garantindo un accesso costante all’infrastruttura, gli aggressori sono in grado di effettuare ricognizioni e connettersi a host remoti”.
ToddyCat è un probabile attore di minacce di lingua cinese che Kaspersky è stato in grado di collegare ad attacchi risalenti almeno a dicembre 2020. Nelle sue fasi iniziali, il gruppo sembrava concentrato solo su un piccolo numero di organizzazioni a Taiwan e in Vietnam. Ma l’autore della minaccia ha rapidamente intensificato gli attacchi dopo la divulgazione pubblica del cosiddetto Vulnerabilità di ProxyLogon in Microsoft Exchange Server nel febbraio 2021. Kaspersky ritiene che ToddyCat potrebbe essere stato tra un gruppo di autori di minacce che hanno preso di mira le vulnerabilità ProxyLogon anche prima di febbraio 2021, ma afferma di non aver ancora trovato prove a sostegno di tale congettura.
Nel 2022 Kaspersky segnalati trovare attori ToddyCat che utilizzano due nuovi sofisticati strumenti malware ha incaricato Samurai e Ninja di distribuire China Chopper, una nota Web shell utilizzata negli attacchi al Microsoft Exchange Server, sui sistemi appartenenti alle vittime in Asia ed Europa.
Mantenimento dell'accesso persistente, malware fresco
L'ultima indagine di Kaspersky sulle attività di ToddyCat ha mostrato che la tattica dell'autore della minaccia per mantenere un accesso remoto persistente a una rete compromessa consiste nello stabilire più tunnel verso di essa utilizzando strumenti diversi. Questi includono l'utilizzo di un tunnel SSH inverso per ottenere l'accesso ai servizi di rete remoti; utilizzando SoftEther VPN, uno strumento open source che consente connessioni VPN tramite OpenVPN, L2TP/IPSec e altri protocolli; e l’utilizzo di un agente leggero (Ngrok) per reindirizzare il comando e il controllo da un’infrastruttura cloud controllata dall’aggressore agli host nell’ambiente della vittima.
Inoltre, i ricercatori di Kaspersky hanno scoperto che gli autori di ToddyCat utilizzano un client proxy inverso veloce per consentire l'accesso da Internet ai server protetti da un firewall o da un meccanismo NAT (Network Address Translation).
L'indagine di Kaspersky ha inoltre dimostrato che l'autore della minaccia utilizza almeno tre nuovi strumenti nella sua campagna di raccolta dati. Uno di questi è il malware che Kaspersky ha soprannominato “Cuthead” che consente a ToddyCat di cercare file con estensioni o parole specifiche sulla rete della vittima e di memorizzarli in un archivio.
Un altro nuovo strumento che Kaspersky ha scoperto che ToddyCat utilizza è "WAExp". Il compito del malware è cercare e raccogliere dati del browser dalla versione web di WhatsApp.
"Per gli utenti dell'app web WhatsApp, la memoria locale del browser contiene i dettagli del profilo, i dati della chat, i numeri di telefono degli utenti con cui chattano e i dati della sessione corrente", hanno affermato i ricercatori di Kaspersky. WAExp consente agli attacchi di accedere a questi dati copiando i file di archiviazione locale del browser, ha osservato il fornitore di sicurezza.
Il terzo strumento nel frattempo si chiama “TomBerBil” e consente agli attori di ToddyCat di rubare password dai browser Chrome ed Edge.
"Abbiamo esaminato diversi strumenti che consentono agli aggressori di mantenere l'accesso alle infrastrutture prese di mira e di cercare e raccogliere automaticamente i dati di interesse", ha affermato Kaspersky. "Gli aggressori utilizzano attivamente tecniche per aggirare le difese nel tentativo di mascherare la loro presenza nel sistema."
Il fornitore di sicurezza consiglia alle organizzazioni di bloccare gli indirizzi IP dei servizi cloud che forniscono il tunneling del traffico e di limitare gli strumenti che gli amministratori possono utilizzare per accedere agli host in remoto. Le organizzazioni devono inoltre rimuovere o monitorare da vicino eventuali strumenti di accesso remoto inutilizzati nell’ambiente e incoraggiare gli utenti a non memorizzare le password nei propri browser, ha affermato Kaspersky.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
