Gelişmiş bir kalıcı tehdit (APT) grubu ToddyCat olarak bilinir Asya-Pasifik bölgesindeki hükümet ve savunma hedeflerinden endüstriyel ölçekte veri topluyor.
Kampanyayı takip eden Kaspersky araştırmacıları, bu hafta tehdit aktörünün kalıcılığı korumak ve onlardan veri çalmak için kurban ortamlarına birden fazla eşzamanlı bağlantı kullandığını açıkladı. Ayrıca ToddyCat’in (bu, Asya palmiye misk kedisi) kurban sistemlerden ve tarayıcılardan veri toplanmasını sağlamak için kullanıyor.
ToddyCat Siber Saldırılarında Çoklu Trafik Tüneli
“Farklı araçlarla uygulanan virüslü altyapıya giden birkaç tünele sahip olmak, [the] Kaspersky güvenlik araştırmacıları, “Saldırganların tünellerden biri keşfedilip ortadan kaldırılsa bile sistemlere erişimi sürdürmeleri gerekiyor” dedi. bu haftaki blog yazısı. “Altyapıya sürekli erişimi güvence altına alarak, [the] Saldırganlar keşif gerçekleştirebiliyor ve uzaktaki ana bilgisayarlara bağlanabiliyor.”
ToddyCat, Kaspersky’nin en az Aralık 2020’ye kadar uzanan saldırılarla bağlantısını kurabildiği, muhtemelen Çince konuşan bir tehdit aktörüdür. İlk aşamalarında grup, Tayvan ve Vietnam’daki az sayıda kuruluşa odaklanmış gibi görünüyordu. Ancak tehdit aktörü, sözde bilgilerin kamuya açıklanmasının ardından saldırıları hızla artırdı. ProxyLogon güvenlik açıkları Kaspersky, ToddyCat’in Şubat 2021’den önce bile ProxyLogon güvenlik açıklarını hedef alan bir grup tehdit aktörü arasında olabileceğine inanıyor ancak henüz bu varsayımı destekleyecek kanıt bulamadığını söylüyor.
2022’de Kaspersky rapor edildi kullanarak ToddyCat oyuncularını bulma iki gelişmiş yeni kötü amaçlı yazılım aracı Samurai ve Ninja’dan, Asya ve Avrupa’daki kurbanlara ait sistemlere Microsoft Exchange Server saldırılarında kullanılan iyi bilinen bir ticari Web kabuğu olan China Chopper’ı dağıtmalarını istedi.
Kalıcı Erişimi Korumak, Yeni Kötü Amaçlı Yazılım
Kaspersky’nin ToddyCat’in faaliyetlerine ilişkin son araştırması, tehdit aktörünün güvenliği ihlal edilmiş bir ağa kalıcı uzaktan erişim sağlama taktiğinin, farklı araçlar kullanarak ağa birden fazla tünel kurmak olduğunu gösterdi. Bunlar arasında uzak ağ hizmetlerine erişim sağlamak için ters SSH tünelinin kullanılması; OpenVPN, L2TP/IPSec ve diğer protokoller aracılığıyla VPN bağlantılarına olanak tanıyan açık kaynaklı bir araç olan SoftEther VPN’i kullanma; ve komuta ve kontrolü saldırgan tarafından kontrol edilen bir bulut altyapısından kurban ortamındaki hedef ana bilgisayarlara yönlendirmek için hafif bir aracı (Ngrok) kullanmak.
Ayrıca Kaspersky araştırmacıları, ToddyCat oyuncularının internetten güvenlik duvarı veya ağ adresi çevirisi (NAT) mekanizmasının arkasındaki sunuculara erişim sağlamak için hızlı bir ters proxy istemcisi kullandığını da tespit etti.
Kaspersky’nin araştırması, tehdit aktörünün veri toplama kampanyasında en az üç yeni araç kullandığını da gösterdi. Bunlardan biri, Kaspersky’nin “Cuthead” adını verdiği ve ToddyCat’in kurban ağındaki belirli uzantılara veya kelimelere sahip dosyaları aramasına ve bunları bir arşivde saklamasına olanak tanıyan kötü amaçlı yazılımdır.
Kaspersky’nin ToddyCat’i kullanırken bulduğu bir diğer yeni araç da “WAExp”. Kötü amaçlı yazılımın görevi, WhatsApp’ın Web sürümündeki tarayıcı verilerini aramak ve toplamaktır.
Kaspersky araştırmacıları, “WhatsApp web uygulaması kullanıcılarının tarayıcı yerel depolama alanı; profil ayrıntılarını, sohbet verilerini, sohbet ettikleri kullanıcıların telefon numaralarını ve mevcut oturum verilerini içeriyor.” dedi. Güvenlik sağlayıcısı, WAExp’in, tarayıcının yerel depolama dosyalarını kopyalayarak saldırıların bu verilere erişmesine izin verdiğini belirtti.
Bu arada üçüncü araç “TomBerBil” olarak adlandırılıyor ve ToddyCat oyuncularının Chrome ve Edge tarayıcılarından şifreleri çalmasına olanak tanıyor.
Kaspersky, “Saldırganların hedef altyapılara erişimini sürdürmesine ve ilgilenilen verileri otomatik olarak arayıp toplamasına olanak tanıyan çeşitli araçları inceledik” dedi. “Saldırganlar, sistemdeki varlıklarını maskelemek amacıyla savunmaları aşmak için aktif olarak teknikler kullanıyor.”
Güvenlik satıcısı, kuruluşların trafik tüneli sağlayan bulut hizmetlerinin IP adreslerini engellemesini ve yöneticilerin ana bilgisayarlara uzaktan erişmek için kullanabileceği araçları sınırlamasını önerir. Kaspersky, kuruluşların ayrıca ortamdaki kullanılmayan uzaktan erişim araçlarını ya kaldırması ya da yakından izlemesi ve kullanıcıları şifrelerini tarayıcılarında saklamamaları konusunda teşvik etmesi gerektiğini söyledi.