WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Nhóm tin tặc ToddyCat đang nhắm mục tiêu vào các máy chủ MS Exchange
Nhóm APT có tên ToddyCat liên quan đến một chuỗi các cuộc tấn công nhằm vào các cơ quan nổi tiếng ở châu Âu và châu Á từ ít nhất là tháng 12 năm 2020.
Hiện, nhóm này được cho là bắt đầu nhắm mục tiêu vào các máy chủ Microsoft Exchange ở Đài Loan và Việt Nam bằng cách triển khai web shell Chopper của Trung Quốc và kích hoạt một chuỗi lây nhiễm nhiều giai đoạn.
Các quốc gia mục tiêu khác bao gồm Afghanistan, Ấn Độ, Indonesia, Iran, Kyrgyzstan, Malaysia, Pakistan, Nga, Slovakia, Thái Lan, Vương quốc Anh và Uzbekistan.
Công ty an ninh mạng Kaspersky của Nga cho biết, làn sóng tấn công đầu tiên nhắm mục tiêu vào Máy chủ Microsoft Exchange. Các máy chủ này bị Samurai, một backdoor tinh vi thường hoạt động trên các cổng 80 và 443, xâm nhập.
"Phần mềm độc hại cho phép thực thi mã C# tùy ý và được sử dụng với nhiều môđun cho phép kẻ tấn công quản lý hệ thống từ xa và di chuyển ngang hàng trong mạng mục tiêu".
ToddyCat lần đầu tiên bị đưa ra ánh sáng vào tháng 3 năm 2021. Khi đó, nhóm đã có hành vi khai thác các lỗ hổng của ProxyLogon Exchange để nhắm mục tiêu vào các máy chủ email thuộc các công ty tư nhân ở châu Á và cơ quan chính phủ ở châu Âu.
Sau khi triển khai web shell Chopper của Trung Quốc, một dropper sẽ được thực thi để sửa đổi Windows Registry nhằm khởi chạy trình tải giai đoạn hai. Trình tải này sẽ kích hoạt trình tải .NET giai đoạn ba chịu trách nhiệm chạy Samurai.
Backdoor còn có thể thực thi các lệnh tùy ý và tách lọc các tệp từ máy chủ bị xâm phạm.
Trong một số trường hợp cụ thể, một công cụ tinh vi có tên Ninja được sinh ra bởi Samurai. Đặc điểm của nó tương tự như các bộ công cụ sau khai thác khác như Cobalt Strike, mặc dù phần mềm độc hại này cho phép kẻ tấn công "điều khiển hệ thống từ xa, tránh bị phát hiện và xâm nhập sâu vào bên trong mạng mục tiêu".
Mặc dù thực tế là các nạn nhân của ToddyCat có liên quan đến các quốc gia và lĩnh vực mà các nhóm nói tiếng Trung thường nhắm tới, không có bằng chứng nào liên kết phương thức này với một tác nhân đe dọa đã biết.
"ToddyCat là một nhóm APT tinh vi sử dụng nhiều kỹ thuật để tránh bị phát hiện. Các tổ chức bị ảnh hưởng, cả chính phủ và quân đội, cho thấy nhóm này tập trung vào các mục tiêu rất cao, có khả năng liên quan đến lợi ích địa chính trị".
Hiện, nhóm này được cho là bắt đầu nhắm mục tiêu vào các máy chủ Microsoft Exchange ở Đài Loan và Việt Nam bằng cách triển khai web shell Chopper của Trung Quốc và kích hoạt một chuỗi lây nhiễm nhiều giai đoạn.
Các quốc gia mục tiêu khác bao gồm Afghanistan, Ấn Độ, Indonesia, Iran, Kyrgyzstan, Malaysia, Pakistan, Nga, Slovakia, Thái Lan, Vương quốc Anh và Uzbekistan.
Công ty an ninh mạng Kaspersky của Nga cho biết, làn sóng tấn công đầu tiên nhắm mục tiêu vào Máy chủ Microsoft Exchange. Các máy chủ này bị Samurai, một backdoor tinh vi thường hoạt động trên các cổng 80 và 443, xâm nhập.
"Phần mềm độc hại cho phép thực thi mã C# tùy ý và được sử dụng với nhiều môđun cho phép kẻ tấn công quản lý hệ thống từ xa và di chuyển ngang hàng trong mạng mục tiêu".
ToddyCat lần đầu tiên bị đưa ra ánh sáng vào tháng 3 năm 2021. Khi đó, nhóm đã có hành vi khai thác các lỗ hổng của ProxyLogon Exchange để nhắm mục tiêu vào các máy chủ email thuộc các công ty tư nhân ở châu Á và cơ quan chính phủ ở châu Âu.
Sau khi triển khai web shell Chopper của Trung Quốc, một dropper sẽ được thực thi để sửa đổi Windows Registry nhằm khởi chạy trình tải giai đoạn hai. Trình tải này sẽ kích hoạt trình tải .NET giai đoạn ba chịu trách nhiệm chạy Samurai.
Backdoor còn có thể thực thi các lệnh tùy ý và tách lọc các tệp từ máy chủ bị xâm phạm.
Trong một số trường hợp cụ thể, một công cụ tinh vi có tên Ninja được sinh ra bởi Samurai. Đặc điểm của nó tương tự như các bộ công cụ sau khai thác khác như Cobalt Strike, mặc dù phần mềm độc hại này cho phép kẻ tấn công "điều khiển hệ thống từ xa, tránh bị phát hiện và xâm nhập sâu vào bên trong mạng mục tiêu".
Mặc dù thực tế là các nạn nhân của ToddyCat có liên quan đến các quốc gia và lĩnh vực mà các nhóm nói tiếng Trung thường nhắm tới, không có bằng chứng nào liên kết phương thức này với một tác nhân đe dọa đã biết.
"ToddyCat là một nhóm APT tinh vi sử dụng nhiều kỹ thuật để tránh bị phát hiện. Các tổ chức bị ảnh hưởng, cả chính phủ và quân đội, cho thấy nhóm này tập trung vào các mục tiêu rất cao, có khả năng liên quan đến lợi ích địa chính trị".
Theo The Hacker News