Аналитики «Лаборатории Касперского» обнаружили, что с 2021 года группировка ToddyCat проводит сложные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России.
Отчет специалистов гласит, что атакующие компрометируют серверы Microsoft Exchange с помощью неизвестного эксплоита и уязвимости ProxyLogon. При этом в атаках используются уникальные бэкдор Samurai и троянец Ninja, которые эксперты называют продвинутыми инструментами для кибершпионажа. Оба разработаны таким образом, чтобы после проникновения в целевые сети долго находиться на глубоких уровнях, оставаясь незамеченными.
Пока точных данных о том, как происходит первоначальное заражение, нет. Впервые исследователи заметили атаки ToddyCat в декабре 2020 года. В феврале-марте 2021 года они зафиксировали резкое усиление активности группы: атакующие начали использовать уязвимость ProxyLogon в серверах Microsoft Exchange для атак на компании в Европе и Азии. С сентября 2021 года группа переключила свое внимание на компьютеры в сетях азиатских государственных органов и дипломатических представительств.
Samurai представляет собой модульный бэкдор и является компонентом финальной стадии атак, позволяя атакующим управлять удаленной системой и перемещаться по скомпрометированной сети. Особенность малвари заключается в том, что она использует множественный поток команд и операторы выбора, чтобы переключаться с одной инструкции на другую. Это затрудняет отслеживание порядка действий в коде.
Также Samurai применяется для запуска еще одной вредоносной программы, троянца Ninja , который позволяет работать одновременно на одном устройстве многим операторам.
Ninja предоставляет широкий набор команд, которые позволяют атакующим контролировать удаленные системы, избегая обнаружения. Обычно команды загружаются в память устройства и запускаются разными загрузчиками. Сначала Ninja восстанавливает параметры конфигурации из зашифрованной нагрузки, а затем глубоко проникает в скомпрометированную сеть.
Вредонос споосбен управлять файловыми системами, запускать обратное подключение (reverse shell), отправлять TCP-пакеты и даже брать сеть под контроль в определенные периоды времени.
По данным исследователей, Ninja имеет сходство с известными фреймворками для постэксплуатации, такими как CobaltStrike, поскольку обладает возможностью без доступа к интернету ограничивать число прямых обращений из целевой сети к удаленным командно-контрольным системам. Вдобавок малварь может контролировать индикаторы HTTP и прятать вредоносный трафик в HTTP-запросах под видом легитимного с помощью изменения заголовков HTTP и пути URL-адресов. Эти возможности позволяют троянцу Ninja скрываться особенно хорошо.
«ToddyCat — это продвинутая кибергруппа с высокими техническими навыками, которая способна оставаться незамеченной и проникать в крупные известные организации. В течение прошлого года мы обнаружили множество загрузчиков и атак, но у нас всё ещё нет полной картины их операций и тактик. ToddyCat использует особенно сложное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту — тщательно мониторить внутренние ресурсы и отслеживать аналитические данные о киберугрозах», — комментирует Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».