Незаметная, словно кошка: APT ToddyCat атакует Exchange-серверы в Европе и Азии

Незаметная, словно кошка: APT ToddyCat атакует Exchange-серверы в Европе и Азии

Целевые атаки ToddyCat проводились с декабря 2020 года.

image

ToddyCat атаковала серверы Microsoft Exchange в Тайване и Вьетнаме с помощью web-оболочки China Chopper , получала удаленный доступ к административным сетям жертв и запускала многоступенчатую цепочку заражения. Таким атакам подверглись и другие страны: Индия, Индонезия, Иран, Малайзия, Пакистан, Россия, Словакия, Узбекистан, Таиланд, Афганистан и Великобритания.

Согласно отчетам компании ESET, в марте 2021 года ToddyCat использовала уязвимость ProxyLogon для атаки на серверы электронной почты правительственных учреждений по всей Азии и Европе. ProxyLogon – уязвимость Microsoft Exchange, использование которой позволяет злоумышленникам получить доступ к серверам электронной почты.

Совсем недавно Лаборатория Касперского опубликовала свой отчет о ToddyCat, в котором говорится, что первая волна атак была направлена исключительно на серверы Microsoft Exchange, которые хакеры взломали с помощью сложного бэкдора Samurai. Вредонос написан на C#, работает на портах 80 и 443 и использует несколько модулей, позволяющих получить удаленный контроль над зараженной системой, а также обеспечивающих боковое перемещение в сети жертвы. Чтобы развернуть бэкдор, злоумышленники использовали web-оболочку China Chopper, с помощью которой модифицировали реестр Windows, а затем запускали второй и третий этапы .NET-дроппера для запуска Samurai.

Джампаоло Дедола, ИБ-специалист Лаборатории Касперского, назвал ToddyCat группой опытных хакеров, использующих множество методов для избежания обнаружения. Исследователи ЛК обеспокоены деятельностью группировки, так как она нацелена на правительственный и военный секторы.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!