ToddyCat - относительно новый APT-актор, ответственный за многочисленные атаки, обнаруженные с декабря 2020 года на высокопоставленные организации в Европе и Азии. Главными отличительными признаками являются два ранее неизвестных инструмента, которые мы называем "бэкдор Samurai" и "троян Ninja".
ToddyCat APT
Группа начала свою деятельность в декабре 2020 года, скомпрометировав отдельные серверы Exchange в Тайване и Вьетнаме с помощью неизвестного эксплойта, который привел к созданию известной веб-оболочки China Chopper, которая, в свою очередь, была использована для запуска многоступенчатой цепочки заражения. В этой цепочке мы наблюдали ряд компонентов, включающих пользовательские загрузчики, используемые для окончательного выполнения пассивного бэкдора Samurai.
В течение первого периода, с декабря 2020 года по февраль 2021 года, группа атаковала очень ограниченное количество серверов на Тайване и во Вьетнаме, связанных с тремя организациями.
С 26 февраля до начала марта наблюдалась быстрая эскалация и использование злоумышленником уязвимости ProxyLogon для компрометации множества организаций в Европе и Азии.
Группа начала использовать уязвимость Microsoft Exchange в декабре 2020 года, но, к сожалению нет достаточной информации для подтверждения этой гипотезы. В любом случае, стоит отметить, что все зараженные компьютеры в период с декабря по февраль были серверами Microsoft Windows Exchange; злоумышленники скомпрометировали серверы с помощью неизвестного эксплойта, а остальная цепочка атак была такой же, как и в марте.
Другие производители наблюдали атаки, предпринятые в марте. ESET окрестили этот кластер действий "Websiic", а вьетнамская компания GTSC выпустила отчет о векторе заражения и технике, использованной для развертывания первого дроппера. Тем не менее, насколько известно, ни в одном из публичных отчетов не описана полная цепочка заражения или более поздние стадии вредоносного ПО, развернутого в рамках операции этой группы.
Первая волна атак была направлена исключительно на серверы Microsoft Exchange, которые были скомпрометированы с помощью Samurai, сложного пассивного бэкдора, который обычно работает на портах 80 и 443. Вредоносная программа позволяет выполнять произвольный код C# и используется с несколькими модулями, которые позволяют злоумышленнику администрировать удаленную систему и перемещаться внутри целевой сети.
В некоторых случаях бэкдор Samurai также использовался для запуска другой сложной вредоносной программы, которую мы назвали Ninja. Этот инструмент, вероятно, является компонентом неизвестного набора инструментов пост-эксплуатации, используемого исключительно ToddyCat.
Судя по логике кода, Ninja представляет собой инструмент для совместной работы, позволяющий нескольким операторам одновременно работать на одной машине. Он предоставляет большой набор команд, которые позволяют злоумышленникам контролировать удаленные системы, избегать обнаружения и проникать вглубь целевой сети. Некоторые возможности схожи с теми, которые предоставляются в других печально известных наборах инструментов для пост-эксплойта. Например, Ninja имеет функцию, подобную Cobalt Strike pivot listers, которая позволяет ограничить количество прямых подключений из целевой сети к удаленным системам C2 и управления без доступа в Интернет. Она также предоставляет возможность контролировать HTTP-индикаторы и маскировать вредоносный трафик в HTTP-запросах, которые выглядят легитимными, путем изменения HTTP-заголовков и URL-путей. Эта функция обеспечивает функциональность, напоминающую профиль Cobalt Strike Malleable C2.
С момента своего первого появления в декабре 2020 года ToddyCat продолжает свою активную деятельность, особенно в Азии, где обнаруживается множество других вариантов загрузчиков и установщиков, аналогичных тем, которые используются для загрузки вредоносных программ Samurai и Ninja. Также наблюдаются другие волны атак на настольные компьютеры, которые были заражены путем отправки вредоносных загрузчиков через Telegram.
Indicators of Compromise
IPv4
- 149.28.28.159
- 137.220.40.10
- 45.76.78.237
Domains
- eohsdnsaaojrhnqo.windowshost.us
MD5
- 1ad6dccb520893b3831a9cfe94786b82
- 33694faf25f95b4c7e81d52d82e27e7b
- 350313b5e1683429c9ffcbc0f7aebf3b
- 5a531f237b8723396bcfd7c24885177f
- 5a912beec77d465fc2a27f0ce9b4052b
- 5c3bf5d7c3a113ee495e967f236ab614
- 5cfdb7340316abc5586448842c52aabc
- 5e721804f556e20bf9ddeec41ccf915d
- 832bb747262fed7bd45d88f28775bca6
- 8a00d23192c4441c3ee3e56acebf64b0
- 8fb70ba9b7e5038710b258976ea97c98
- 93c186c33e4bbe2abdcc6dfea86fbbff
- ae5d2cef136ac1994b63c7f8d95c9c84
- bde2073dea3a0f447eeb072c7e568ee7
- ee881e0e8b496bb62ed0b699f63ce7a6
- f595edf293af9b5b83c5ffc2e4c0f14b
SHA1
- 84f4aeab426ce01334fd2da3a11d981f6d9dcabb
- 9afa2afb838caf2748d09d013d8004809d48d3e4
- 3ed18fbe06d6ef2c8332db70a3221a00f7251d55