ToddyCat APT Bilgisayar Korsanları Savunmasız Exchange Sunucularından Yararlanıyor


Avrupa ve Asya’da hedefli saldırılar başlatmasıyla ünlü, oldukça yetenekli, gelişmiş kalıcı tehdit (APT) aktörü ToddyCat, yakın zamanda araç ve yöntem cephaneliğini yükselterek çalışma tarzında bir evrime işaret etti.

Kaspersky SecureList’teki siber güvenlik araştırmacılarının son bulguları aşağıdaki konulara ilişkin bilgiler sağlıyor: –

  • Yeni araç seti
  • Veri hırsızlığı kötü amaçlı yazılımı
  • Yanal hareket teknikleri
  • Casusluk operasyonları

Araştırmacılar, ToddyCat APT grubunun arkasındaki bilgisayar korsanlarının, savunmasız Microsoft Exchange sunucularından aktif olarak yararlandığını doğruladı.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Aşağıda ToddyCat APT grubunun arkasındaki tehdit aktörlerinin kullandığı tüm araçlardan bahsettik:-

  • Standart yükleyiciler
  • Özel yükleyici
  • Ninja
  • LoFiSe
  • DropBox yükleyici
  • Pcexter
  • Pasif UDP arka kapısı
  • Kobalt Saldırısı

ToddyCat APT Exchange Sunucularından Yararlanıyor

ToddyCat, yükleyiciler ve Truva atlarıyla ağlara sızarak casusluk yapıyor. Erişim elde ettikten sonra, bağlı ana bilgisayarlar hakkında veri toplarlar ve net ve ping gibi standart işletim sistemi yardımcı programlarını kullanarak etki alanı hesaplarını ve sunucuları numaralandırarak keşif etkinlikleri gerçekleştirirler: –

net group "domain admins" /dom
net user %USER% /dom
net group "domain computers" /dom | findstr %VALUABLE_USER%
ping %REMOTE_HOST% -4

Saldırganlar, hedeflenen her ana bilgisayar için kimlik bilgilerini düzenli olarak değiştirir ve kısa süreliğine çalıştırılan ve ağ paylaşımlarıyla birlikte kaldırılan zamanlanmış bir görevde komut dosyaları kullanır.

Zamanlanmış görevler, veri toplamaya yönelik keşif komutlarını veya komut dosyalarını içerebilir. Saldırgan, yanal hareket sırasında uzak bir sürücüyü yerel paylaşım olarak monte ederek bu görevlerden Çıktıya erişebilir.

PS1 betiğindeki PowerShell komutları, tespit edilmekten kaçınmak için bir BAT betiğinde kopyalandı.

Grup, şüpheyi önlemek amacıyla bir oturum için sürekli olarak ‘one’ ve ‘tpcd’ gibi ortak görev adlarını kullanıyor. Komut dosyası adları rastgele klavyede yürüyen karakterlerdir. Faaliyetlerinin sonunda sızıntı ana bilgisayarına geçici bir paylaşım bağlar ve silerler.

Tehdit aktörü çeşitli ana bilgisayarlardan dosyalar toplar, bunları arşivler ve genel depolama yoluyla sızdırır.

Dosya toplama için tasarlanan LoFiSe, yakın zamanda değiştirilmiş belgeleri belirli uzantılara sahip olarak numaralandırmak ve toplamak için diğer komut dosyalarıyla tamamlanır.

Bunun yanı sıra, veri toplamaya yönelik komut dosyası çeşitleri sıkıştırılmış arşivleri kullanmıyordu. Dosyalar belirli klasörlere kopyalandı, xcopy aracılığıyla manuel olarak sızma ana bilgisayarına aktarıldı ve ardından 7z ile sıkıştırıldı.

IOC’ler

Loaders
97D0A47B595A20A3944919863A8163D1                    Variant “Update”
828F8B599A1CC4A02A2C3928EC3F5F8B                     Variant “VLC” A
90B14807734045F1E0A47C40DF949AC4                     Variant “VLC” B
0F7002AACA8C1E71959C3EE635A85F14                     Tailored loader
D3050B3C7EE8A80D8D6700624626266D                    Tailored loader
D4D8131ED03B71D58B1BA348F9606DF7                    Tailored loader
Passive UDP backdoors
65AF75986577FCC14FBC5F98EFB3B47E
Dropbox exfiltrator
BEBBEBA37667453003D2372103C45BBF
LoFiSe
14FF83A500D403A5ED990ED86296CCC7
4AD609DDDF2C39CDA7BDBE2F9DC279FD
Pcexter
D0CD88352638F1AE101C2A13356AB6B7
318C16195F62094DADCC602B547BBE66
Dropper
C170F05333041C56BCC39056FECB808F

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link