กลุ่มภัยคุกคามถาวรขั้นสูง (APT) รู้จักในชื่อ ท็อดดี้แคท กำลังรวบรวมข้อมูลในระดับอุตสาหกรรมจากรัฐบาลและเป้าหมายด้านกลาโหมในภูมิภาคเอเชียแปซิฟิก

นักวิจัยจากแคสเปอร์สกี้ที่ติดตามแคมเปญนี้ บรรยายถึงผู้คุกคามในสัปดาห์นี้ว่าใช้การเชื่อมต่อหลายรายการพร้อมกันในสภาพแวดล้อมของเหยื่อ เพื่อรักษาความคงอยู่และขโมยข้อมูลจากพวกเขา พวกเขายังค้นพบชุดเครื่องมือใหม่ที่ ToddyCat (ซึ่งเป็นชื่อสามัญของ เอเชี่ยนปาล์มชะมด) ใช้เพื่อเปิดใช้งานการรวบรวมข้อมูลจากระบบและเบราว์เซอร์ของเหยื่อ

อุโมงค์จราจรหลายแห่งในการโจมตีทางไซเบอร์ของ ToddyCat

“การมีอุโมงค์หลายแห่งไปยังโครงสร้างพื้นฐานที่ติดไวรัสซึ่งใช้งานด้วยเครื่องมือที่แตกต่างกัน ทำให้ผู้โจมตีสามารถรักษาการเข้าถึงระบบได้ แม้ว่าอุโมงค์ใดอุโมงค์หนึ่งจะถูกค้นพบและกำจัดออกไปก็ตาม” นักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวใน บล็อกโพสต์ในสัปดาห์นี้- “ด้วยการรักษาความปลอดภัยการเข้าถึงโครงสร้างพื้นฐานอย่างต่อเนื่อง ผู้โจมตี [the] จึงสามารถทำการลาดตระเวนและเชื่อมต่อกับโฮสต์ระยะไกลได้”

ToddyCat เป็นภัยคุกคามที่พูดภาษาจีนได้ ซึ่ง Kaspersky สามารถเชื่อมโยงกับการโจมตีย้อนกลับไปอย่างน้อยเดือนธันวาคม 2020 ในระยะเริ่มแรก กลุ่มนี้ดูเหมือนจะมุ่งเน้นไปที่องค์กรจำนวนเล็กน้อยในไต้หวันและเวียดนาม แต่ผู้ก่อภัยคุกคามเพิ่มการโจมตีอย่างรวดเร็วหลังจากการเปิดเผยสิ่งที่เรียกว่านี้สู่สาธารณะ ช่องโหว่ของ ProxyLogon ใน Microsoft Exchange Server ในเดือนกุมภาพันธ์ 2021 Kaspersky เชื่อว่า ToddyCat อาจเป็นหนึ่งในกลุ่มผู้แสดงภัยคุกคามที่กำหนดเป้าหมายไปที่ช่องโหว่ของ ProxyLogon ก่อนเดือนกุมภาพันธ์ 2021 เสียด้วยซ้ำ แต่บอกว่ายังไม่พบหลักฐานที่สนับสนุนการคาดเดาดังกล่าว  

ในปี 2022 แคสเปอร์สกี้ รายงาน การหานักแสดง ToddyCat ใช้ เครื่องมือมัลแวร์ใหม่อันซับซ้อนสองตัว ขนานนามว่า Samurai และ Ninja เพื่อจัดจำหน่าย China Chopper ซึ่งเป็นเว็บเชลล์สินค้าโภคภัณฑ์ที่รู้จักกันดีซึ่งใช้ในการโจมตี Microsoft Exchange Server บนระบบที่เป็นของเหยื่อในเอเชียและยุโรป

การรักษาการเข้าถึงแบบถาวร มัลแวร์ใหม่

การสืบสวนล่าสุดของ Kaspersky เกี่ยวกับกิจกรรมของ ToddyCat แสดงให้เห็นกลยุทธ์ของผู้คุกคามในการรักษาการเข้าถึงเครือข่ายที่ถูกบุกรุกจากระยะไกลอย่างต่อเนื่องคือการสร้างอุโมงค์หลายแห่งโดยใช้เครื่องมือที่แตกต่างกัน ซึ่งรวมถึงการใช้อุโมงค์ SSH แบบย้อนกลับเพื่อเข้าถึงบริการเครือข่ายระยะไกล ใช้ SoftEther VPN ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่เปิดใช้งานการเชื่อมต่อ VPN ผ่าน OpenVPN, L2TP/IPSec และโปรโตคอลอื่น ๆ และใช้เอเจนต์น้ำหนักเบา (Ngrok) เพื่อเปลี่ยนเส้นทางคำสั่งและการควบคุมจากโครงสร้างพื้นฐานคลาวด์ที่ควบคุมโดยผู้โจมตีไปยังโฮสต์เป้าหมายในสภาพแวดล้อมของเหยื่อ

นอกจากนี้ นักวิจัยของแคสเปอร์สกี้ยังพบว่านักแสดงของ ToddyCat ใช้ไคลเอ็นต์พร็อกซีย้อนกลับแบบรวดเร็วเพื่อให้สามารถเข้าถึงจากอินเทอร์เน็ตไปยังเซิร์ฟเวอร์ที่อยู่ด้านหลังกลไกไฟร์วอลล์หรือการแปลที่อยู่เครือข่าย (NAT)

การสืบสวนของแคสเปอร์สกี้ยังแสดงให้เห็นว่าผู้ก่อภัยคุกคามใช้เครื่องมือใหม่อย่างน้อยสามเครื่องมือในแคมเปญรวบรวมข้อมูล หนึ่งในนั้นคือมัลแวร์ที่ Kaspersky ขนานนามว่า “Cuthead” ซึ่งช่วยให้ ToddyCat ค้นหาไฟล์ที่มีนามสกุลหรือคำเฉพาะบนเครือข่ายของเหยื่อ และจัดเก็บไว้ในไฟล์เก็บถาวร

เครื่องมือใหม่อีกอย่างที่ Kaspersky พบว่า ToddyCat ใช้คือ “WAExp” หน้าที่ของมัลแวร์คือการค้นหาและรวบรวมข้อมูลเบราว์เซอร์จาก WhatsApp เวอร์ชันเว็บ 

“สำหรับผู้ใช้เว็บแอป WhatsApp พื้นที่เก็บข้อมูลในเบราว์เซอร์ของพวกเขาประกอบด้วยรายละเอียดโปรไฟล์ ข้อมูลการแชท หมายเลขโทรศัพท์ของผู้ใช้ที่พวกเขาแชทด้วย และข้อมูลเซสชันปัจจุบัน” นักวิจัยของ Kaspersky กล่าว WAExp อนุญาตให้การโจมตีเข้าถึงข้อมูลนี้ได้โดยการคัดลอกไฟล์ที่จัดเก็บในเครื่องของเบราว์เซอร์ ผู้จำหน่ายระบบรักษาความปลอดภัยระบุ  

เครื่องมือที่สามในขณะเดียวกันมีชื่อว่า "TomBerBil" และอนุญาตให้นักแสดง ToddyCat สามารถขโมยรหัสผ่านจากเบราว์เซอร์ Chrome และ Edge

“เราพิจารณาเครื่องมือหลายอย่างที่ช่วยให้ผู้โจมตีรักษาการเข้าถึงโครงสร้างพื้นฐานเป้าหมายและค้นหาและรวบรวมข้อมูลที่น่าสนใจโดยอัตโนมัติ” แคสเปอร์สกี้กล่าว “ผู้โจมตีกำลังใช้เทคนิคอย่างแข็งขันเพื่อหลีกเลี่ยงการป้องกันเพื่อพยายามปกปิดการปรากฏตัวของพวกเขาในระบบ”

ผู้จำหน่ายความปลอดภัยแนะนำให้องค์กรบล็อกที่อยู่ IP ของบริการคลาวด์ที่ให้ช่องทางการรับส่งข้อมูลและจำกัดเครื่องมือที่ผู้ดูแลระบบสามารถใช้เพื่อเข้าถึงโฮสต์จากระยะไกล องค์กรยังจำเป็นต้องลบหรือติดตามเครื่องมือการเข้าถึงระยะไกลที่ไม่ได้ใช้ในสภาพแวดล้อมอย่างใกล้ชิด และสนับสนุนให้ผู้ใช้ไม่เก็บรหัสผ่านไว้ในเบราว์เซอร์ Kaspersky กล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-