Μια ομάδα APT που ονομάζεται ToddyCat έχει ως στόχο servers Microsoft Exchange σε όλη την Ασία και την Ευρώπη για περισσότερο από ένα χρόνο, τουλάχιστον από τον Δεκέμβριο του 2020.
Δείτε επίσης: BRATA: Το Android-wiping malware εξελίσσεται σε μια επίμονη απειλή
Ενώ παρακολουθούσαν τη δραστηριότητα της ομάδας, ερευνητές ασφαλείας με την Global Research & Analysis Team (GReAT) της Kaspersky βρήκαν και ένα άγνωστο μέχρι τώρα παθητικό backdoor που ονόμασαν Samurai και ένα νέο κακόβουλο λογισμικό trojan με το όνομα Ninja Trojan.
Και τα δύο στελέχη malware επιτρέπουν στους εισβολείς να αναλάβουν τον έλεγχο των μολυσμένων συστημάτων και να μετακινηθούν πλευρικά μέσα στα δίκτυα των θυμάτων.
Οι επιθέσεις της ToddyCat έχουν εντοπιστεί και στο παρελθόν από τη σλοβακική εταιρεία κυβερνοασφάλειας ESET, η οποία τις παρακολουθούσε ως ένα σύμπλεγμα δραστηριοτήτων που ονόμασαν Websiic ξεκινώντας από τον Μάρτιο του 2021.
Εκείνη την εποχή, η ομάδα hacking εκμεταλλεύτηκε τα ελαττώματα του ProxyLogon Exchange που τους επέτρεψαν να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους servers για να αναπτύξουν web shells China Chopper.
Αν και δεν ήταν πολύ ενεργοί μέχρι τον Φεβρουάριο του 2021, κλιμάκωσαν γρήγορα τις επιθέσεις τους αφού άρχισαν να σαρώνουν και να στοχεύουν unpatched servers Microsoft Exchange σε όλη την Ευρώπη και την Ασία με exploits ProxyLogon.
Κύματα επιθέσεων κατά server Exchange και συστημάτων desktop
Οι αγαπημένοι στόχοι της ομάδας είναι οργανισμοί υψηλού προφίλ, συμπεριλαμβανομένων κυβερνητικών και στρατιωτικών φορέων, καθώς και στρατιωτικοί εργολάβοι.
Ενώ το πρώτο κύμα επιθέσεων (μεταξύ Δεκεμβρίου 2020 και Φεβρουαρίου 2021) στόχευε μόνο έναν μικρό αριθμό κυβερνητικών οργανισμών στο Βιετνάμ και την Ταϊβάν, το επόμενο κύμα (μεταξύ Φεβρουαρίου 2021 και Μαΐου 2021) επεκτάθηκε γρήγορα σε οντότητες από μια μακρά λίστα χωρών σε όλο τον κόσμο, συμπεριλαμβανομένης της Ρωσίας, της Ινδίας, του Ιράν και του Ηνωμένου Βασιλείου.
Στην επόμενη φάση (μέχρι τον Φεβρουάριο του 2022), η ToddyCat στόχευσε το ίδιο σύμπλεγμα χωρών, αλλά πρόσθεσε και οργανισμούς από την Ινδονησία, το Ουζμπεκιστάν και το Κιργιστάν στη λίστα.
Δείτε επίσης: MaliBot Android malware: Παρακάμπτει το multi-factor authentication
Σε αυτό το τρίτο κύμα επιθέσεων, η ομάδα APT επέκτεινε και την εστίασή της για να συμπεριλάβει συστήματα desktop, ενώ πριν στόχευαν αποκλειστικά servers Microsoft Exchange.
Η Kaspersky λέει ότι τα θύματα της ToddyCat συνδέονται με κλάδους της βιομηχανίας και χώρες που στοχοποιούνται από πολλές κινεζόφωνες ομάδες.
Δείτε επίσης: Play Store: Adware και malware κρύβονται σε apps με χιλιάδες λήψεις
Πρόσθετες τεχνικές λεπτομέρειες σχετικά με το malware που χρησιμοποιείται από και δείκτες IOCs που συνδέονται με το ToddyCat μπορείτε να βρείτε στην αναφορά της Kaspersky.
Πηγή πληροφοριών: bleepingcomputer.com
