Advanced Persistent Threat (APT) グループ トディキャットとして知られています は、アジア太平洋地域の政府および防衛目標から産業規模でデータを収集しています。
キャンペーンを追跡しているカスペルスキーの研究者は、今週、攻撃者が被害環境への複数の同時接続を使用して永続性を維持し、被害環境からデータを盗んでいると報告しました。彼らはまた、ToddyCat (これは、 アジアのパームシベット) を使用して、被害者のシステムおよびブラウザからのデータ収集を可能にします。
ToddyCat サイバー攻撃における複数のトラフィック トンネル
「感染したインフラへの複数のトンネルをさまざまなツールで実装すると、トンネルの 1 つが発見されて削除された場合でも、攻撃者はシステムへのアクセスを維持できる」とカスペルスキーのセキュリティ研究者は論文で述べています。 今週のブログ投稿。 「インフラストラクチャへの常時アクセスを確保することで、攻撃者は偵察を実行し、リモート ホストに接続できるようになります。」
ToddyCat は中国語を話す攻撃者である可能性が高く、カスペルスキーは少なくとも 2020 年 XNUMX 月まで遡って攻撃に関連付けることができました。初期段階では、このグループは台湾とベトナムの少数の組織のみに焦点を当てていたようです。しかし、脅威アクターは、いわゆる ProxyLogonの脆弱性 カスペルスキーは、ToddyCat が 2021 年 2021 月以前から ProxyLogon の脆弱性を標的とした攻撃者グループの XNUMX つに含まれていた可能性があると考えていますが、その推測を裏付ける証拠はまだ見つかっていないと述べています。
2022 年、カスペルスキー 報告 を使用して ToddyCat アクターを検索する 2 つの洗練された新しいマルウェア ツール サムライと忍者と呼ばれるこのグループは、チャイナ チョッパー (Microsoft Exchange Server 攻撃で使用された有名な汎用 Web シェル) をアジアとヨーロッパの被害者のシステムに配布しました。
永続的なアクセスの維持、新鮮なマルウェア
ToddyCat の活動に関する Kaspersky の最新調査では、侵害されたネットワークへの永続的なリモート アクセスを維持するための脅威アクターの戦術が、さまざまなツールを使用してネットワークへの複数のトンネルを確立することであることが判明しました。これには、リモート ネットワーク サービスにアクセスするためのリバース SSH トンネルの使用が含まれます。 OpenVPN、L2TP/IPSec、およびその他のプロトコルを介した VPN 接続を可能にするオープン ソース ツールである SoftEther VPN を使用します。軽量エージェント (Ngrok) を使用して、攻撃者が制御するクラウド インフラストラクチャから被害環境のターゲット ホストにコマンド アンド コントロールをリダイレクトします。
さらに、カスペルスキーの研究者は、ToddyCat の攻撃者が高速リバース プロキシ クライアントを使用して、インターネットからファイアウォールまたはネットワーク アドレス変換 (NAT) メカニズムの背後にあるサーバーへのアクセスを可能にしていることを発見しました。
カスペルスキーの調査では、攻撃者がデータ収集キャンペーンで少なくとも 3 つの新しいツールを使用していることも判明しました。そのうちの 1 つは、Kaspersky が「Cuthead」と名付けたマルウェアで、ToddyCat が被害ネットワーク上で特定の拡張子や単語を持つファイルを検索し、アーカイブに保存できるようにします。
カスペルスキーが ToddyCat が使用していることを発見したもう 1 つの新しいツールは「WAExp」です。このマルウェアの役割は、Web バージョンの WhatsApp からブラウザ データを検索して収集することです。
「WhatsAppウェブアプリのユーザーの場合、ブラウザのローカルストレージにはプロフィールの詳細、チャットデータ、チャットするユーザーの電話番号、現在のセッションデータが保存されている」とカスペルスキーの研究者らは述べた。 WAExp を使用すると、攻撃者はブラウザのローカル ストレージ ファイルをコピーすることでこのデータにアクセスできるとセキュリティ ベンダーは指摘しました。
一方、3 番目のツールは「TomBerBil」と呼ばれ、ToddyCat 攻撃者が Chrome および Edge ブラウザからパスワードを盗むことを可能にします。
「私たちは、攻撃者が標的のインフラへのアクセスを維持し、関心のあるデータを自動的に検索して収集できるようにするいくつかのツールを検討しました」とカスペルスキーは述べた。 「攻撃者は、システム内での存在を隠蔽するために、防御を回避するテクニックを積極的に使用しています。」
セキュリティ ベンダーは、トラフィック トンネリングを提供するクラウド サービスの IP アドレスをブロックし、管理者がホストにリモート アクセスするために使用できるツールを制限することを組織に推奨しています。また、組織は環境内で使用されていないリモート アクセス ツールを削除するか注意深く監視し、ユーザーがブラウザにパスワードを保存しないよう奨励する必要があるとカスペルスキーは述べています。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-