ToddyCat APT zielt auf Microsoft Exchange-Server ab, um Samurai-Backdoor und Ninja-Trojaner bereitzustellen

[post-views]
Juni 28, 2022 · 3 min zu lesen
ToddyCat APT zielt auf Microsoft Exchange-Server ab, um Samurai-Backdoor und Ninja-Trojaner bereitzustellen

Lernen Sie einen neuartigen Akteur im Bereich der Cyberbedrohungen kennen! Seit Ende 2020 verfolgen Sicherheitsexperten ein neues APT-Kollektiv, das den Namen ToddyCat trägt. Es wurde dabei beobachtet, wie es Microsoft Exchange Server in Europa und Asien ins Visier nahm, um maßgeschneiderte Malware-Proben zu verbreiten. Zu den bösartigen Varianten, die von ToddyCat verteilt werden, gehören der bisher unbekannte Samurai-Backdoor und der Ninja-Trojaner, die aktiv genutzt werden, um vollständige Kontrolle über infizierte Instanzen zu übernehmen und sich lateral im Netzwerk zu bewegen.

ToddyCat APT bei Attacken auf Microsoft Exchange Server erkennen

Angesichts der zunehmenden Raffinesse und des Umfangs von APT-Angriffen ist es wichtig, Erkennungsinhalte rechtzeitig zur Hand zu haben, um Eindringlinge proaktiv abwehren zu können. Holen Sie sich eine Sigma-Regel unten bereitgestellt von unserem aufmerksamen Threat Bounty Entwickler Sittikorn Sangrattanapitak um die bösartigen Aktivitäten im Zusammenhang mit ToddyCat APT zu identifizieren:

Mögliche ToddyCat APT-Gruppenziele in Europa und Asien Erkennung durch Registry-Änderung (via Registry)

Diese Erkennungsregel ist kompatibel mit 16 marktführenden SIEM-, EDR- und XDR-Lösungen und mit dem MITRE ATT&CK® Framework v.10 abgestimmt, das die Verteidigungstaktik Verteidigungsausweichen durch Ändern der Registrierungstechnik (T1112) anspricht.

Enthusiastisch, Ihre Fähigkeiten im Threat Hunting und in der Detection Engineering zu monetarisieren? Treten Sie unserem Threat Bounty Programmbei, entwickeln Sie Ihre eigenen Sigma-Regeln, lassen Sie sie auf der SOC Prime Plattform veröffentlichen und erhalten Sie wiederkehrende Belohnungen für Ihren Beitrag.

Erhalten Sie die vollständige Liste von Sigma-, Snort- und Yara-Regeln zur Erkennung bösartiger Aktivitäten im Zusammenhang mit fortgeschrittenen persistenten Bedrohungen (APTs), indem Sie auf den Detect & Hunt-Button klicken. Cyber-Verteidiger können auch unsere Cyber Threats-Suchmaschine durchsuchen, um relevante Erkennungen mit einer breiten Palette an Kontextinformationen, einschließlich CTI-Links, MITRE ATT&CK-Referenzen und anderer Metadaten, zu erhalten. Drücken Sie einfach den Explore Threat Context-Button, um einzutauchen!

Detect & Hunt Explore Threat Context

ToddyCat Angriffsbeschreibung

ToddyCAT APT rückte erstmals im Dezember 2020 ins Rampenlicht, als Forscher von Kaspersky’s Global Research & Analysis Team (GReAT) eine bösartige Kampagne identifizierten, die Microsoft Exchange Server in Asien und Europa ins Visier nahm. Laut Untersuchung von Kasperskynutzte die neuartige APT-Gruppe ProxyLogon-Exploits, um die Kontrolle über ungepatchte Server zu übernehmen und maßgeschneiderte Malware wie den Samurai-Backdoor und den Ninja-Trojaner zu installieren. Experten bemerken, dass beide Malware-Proben ToddyCat die Fähigkeit geben, die betroffenen Instanzen zu kontrollieren und sich lateral im Netzwerk zu bewegen.

Die Kampagne eskalierte im Laufe der Zeit, beginnend mit einer begrenzten Anzahl von Organisationen in Vietnam und Taiwan Ende 2020, bis hin zu mehreren Zielen in Russland, Indien, Iran, dem Vereinigten Königreich, Indonesien, Usbekistan und Kirgisistan in den Jahren 2021-2022. ToddyCat-Hacker griffen überwiegend hochrangige Organisationen an, darunter Regierungsinstitutionen und Militärauftragnehmer. Außerdem erweiterten APT-Angehörige ab Februar 2022 ihre Zielliste mit Desktop-Systemen zusätzlich zu den Microsoft Exchange Servern.

Interessanterweise sind die Opfer von ToddyCat mit den Branchen und Regionen verbunden, die häufig von chinesischen Hacker-Kollektiven angegriffen werden. Beispielsweise wurden mehrere ToddyCat-Ziele gleichzeitig von China-verknüpften Hackern kompromittiert, die den FunnyDream-Backdoor ausnutzten. Dennoch vermeiden es Sicherheitsexperten, ToddyCat APT mit den FunnyDream-Betreibern in Verbindung zu bringen.

Profitieren Sie von der fruchtbaren Zusammenarbeit mit der globalen Cybersicherheits-Community von über 23.000 SOC-Profis, indem Sie der Plattform von SOC Primebeitreten. Verteidigen Sie sich gegen auftauchende Bedrohungen und steigern Sie die Effizienz Ihrer Bedrohungserkennungsfähigkeiten!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab 5 min zu lesen Neueste Bedrohungen Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab by Daryna Olyniychuk APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt 5 min zu lesen Neueste Bedrohungen APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt by Daryna Olyniychuk Erkennung von APT28-Angriffen: Russische GRU-Einheit 26156 zielt in zweijähriger Hacking-Kampagne auf westliche Logistik- und Technologieunternehmen, die Hilfe für die Ukraine koordinieren 7 min zu lesen Neueste Bedrohungen Erkennung von APT28-Angriffen: Russische GRU-Einheit 26156 zielt in zweijähriger Hacking-Kampagne auf westliche Logistik- und Technologieunternehmen, die Hilfe für die Ukraine koordinieren by Veronika Telychko
Alle Nachrichten