Trí thông minh dữ liệu tạo

An ninh mạng

ToddyCat APT đang đánh cắp dữ liệu ở 'Quy mô công nghiệp'

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Nhóm mối đe dọa liên tục nâng cao (APT) được biết đến với cái tên ToddyCat đang thu thập dữ liệu ở quy mô công nghiệp từ các mục tiêu chính phủ và quốc phòng ở khu vực Châu Á - Thái Bình Dương.

Các nhà nghiên cứu từ Kaspersky theo dõi chiến dịch đã mô tả tác nhân đe dọa trong tuần này đang sử dụng nhiều kết nối đồng thời vào môi trường nạn nhân để duy trì tính ổn định và đánh cắp dữ liệu từ họ. Họ cũng phát hiện ra một bộ công cụ mới mà ToddyCat (tên gọi chung của Cầy hương châu á) đang sử dụng để cho phép thu thập dữ liệu từ hệ thống và trình duyệt của nạn nhân.

Nhiều đường hầm giao thông trong các cuộc tấn công mạng của ToddyCat

Các nhà nghiên cứu bảo mật của Kaspersky cho biết: “Việc có một số đường hầm dẫn đến cơ sở hạ tầng bị lây nhiễm được triển khai bằng các công cụ khác nhau cho phép [những] kẻ tấn công duy trì quyền truy cập vào hệ thống ngay cả khi một trong các đường hầm bị phát hiện và loại bỏ”. bài đăng trên blog tuần này. “Bằng cách đảm bảo quyền truy cập liên tục vào cơ sở hạ tầng, [những] kẻ tấn công có thể thực hiện trinh sát và kết nối với các máy chủ từ xa.”

ToddyCat có thể là kẻ đe dọa nói tiếng Trung Quốc mà Kaspersky có thể liên kết với các cuộc tấn công ít nhất là từ tháng 2020 năm XNUMX. Trong giai đoạn đầu, nhóm này dường như chỉ tập trung vào một số ít tổ chức ở Đài Loan và Việt Nam. Nhưng kẻ đe dọa đã nhanh chóng tăng cường các cuộc tấn công sau khi tiết lộ công khai cái gọi là Lỗ hổng ProxyLogon trong Microsoft Exchange Server vào tháng 2021 năm 2021. Kaspersky tin rằng ToddyCat có thể nằm trong nhóm các tác nhân đe dọa nhắm vào các lỗ hổng ProxyLogon ngay cả trước tháng XNUMX năm XNUMX, nhưng cho biết họ chưa tìm thấy bằng chứng nào chứng minh cho phỏng đoán đó.  

Vào năm 2022, Kaspersky báo cáo tìm diễn viên ToddyCat bằng cách sử dụng hai công cụ phần mềm độc hại mới tinh vi được mệnh danh là Samurai và Ninja để phân phối China Chopper — một Web shell hàng hóa nổi tiếng được sử dụng trong các cuộc tấn công Microsoft Exchange Server — trên các hệ thống thuộc về các nạn nhân ở Châu Á và Châu Âu.

Duy trì quyền truy cập liên tục, phần mềm độc hại mới

Cuộc điều tra mới nhất của Kaspersky về các hoạt động của ToddyCat cho thấy chiến thuật của kẻ đe dọa nhằm duy trì quyền truy cập từ xa liên tục vào mạng bị xâm nhập là thiết lập nhiều đường hầm tới mạng đó bằng các công cụ khác nhau. Chúng bao gồm việc sử dụng đường hầm SSH đảo ngược để có quyền truy cập vào các dịch vụ mạng từ xa; sử dụng SoftEther VPN, một công cụ nguồn mở cho phép kết nối VPN thông qua OpenVPN, L2TP/IPSec và các giao thức khác; và sử dụng một tác nhân nhẹ (Ngrok) để chuyển hướng lệnh và kiểm soát từ cơ sở hạ tầng đám mây do kẻ tấn công kiểm soát sang các máy chủ mục tiêu trong môi trường nạn nhân.

Ngoài ra, các nhà nghiên cứu của Kaspersky còn phát hiện các kẻ tấn công ToddyCat đang sử dụng máy khách proxy đảo ngược nhanh để cho phép truy cập từ Internet đến các máy chủ đằng sau tường lửa hoặc cơ chế dịch địa chỉ mạng (NAT).

Cuộc điều tra của Kaspersky cũng cho thấy tác nhân đe dọa sử dụng ít nhất ba công cụ mới trong chiến dịch thu thập dữ liệu của mình. Một trong số đó là phần mềm độc hại mà Kaspersky đặt tên là “Cuthead”, cho phép ToddyCat tìm kiếm các tệp có phần mở rộng hoặc từ cụ thể trên mạng nạn nhân và lưu trữ chúng trong kho lưu trữ.

Một công cụ mới khác mà Kaspersky nhận thấy ToddyCat đang sử dụng là “WAExp”. Nhiệm vụ của phần mềm độc hại là tìm kiếm và thu thập dữ liệu trình duyệt từ phiên bản Web của WhatsApp. 

Các nhà nghiên cứu của Kaspersky cho biết: “Đối với người dùng ứng dụng web WhatsApp, bộ nhớ cục bộ trên trình duyệt của họ chứa chi tiết hồ sơ, dữ liệu trò chuyện, số điện thoại của người dùng mà họ trò chuyện và dữ liệu phiên hiện tại”. WAExp cho phép các cuộc tấn công giành quyền truy cập vào dữ liệu này bằng cách sao chép các tệp lưu trữ cục bộ của trình duyệt, nhà cung cấp bảo mật lưu ý.  

Trong khi đó, công cụ thứ ba có tên là “TomBerBil” và cho phép các hacker ToddyCat đánh cắp mật khẩu từ trình duyệt Chrome và Edge.

Kaspersky cho biết: “Chúng tôi đã xem xét một số công cụ cho phép kẻ tấn công duy trì quyền truy cập vào cơ sở hạ tầng mục tiêu và tự động tìm kiếm cũng như thu thập dữ liệu quan tâm”. “Những kẻ tấn công đang tích cực sử dụng các kỹ thuật để vượt qua hệ thống phòng thủ nhằm che giấu sự hiện diện của chúng trong hệ thống.”

Nhà cung cấp bảo mật khuyến nghị các tổ chức nên chặn địa chỉ IP của các dịch vụ đám mây cung cấp đường hầm lưu lượng và hạn chế các công cụ mà quản trị viên có thể sử dụng để truy cập máy chủ từ xa. Các tổ chức cũng cần loại bỏ hoặc giám sát chặt chẽ mọi công cụ truy cập từ xa không được sử dụng trong môi trường và khuyến khích người dùng không lưu trữ mật khẩu trong trình duyệt của họ, Kaspersky cho biết.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?