ToddyCat APT Ataca Servidores de Microsoft Exchange para Desplegar el Backdoor Samurai y el Troyano Ninja

[post-views]
junio 28, 2022 · 3 min de lectura
ToddyCat APT Ataca Servidores de Microsoft Exchange para Desplegar el Backdoor Samurai y el Troyano Ninja

¡Conozca a un nuevo jugador en el ámbito de las ciberamenazas! Desde finales de 2020, expertos en seguridad han estado monitoreando un nuevo colectivo APT, denominado ToddyCat, que fue detectado atacando servidores de Microsoft Exchange en Europa y Asia para desplegar muestras de malware personalizado. Entre las cepas maliciosas distribuidas por ToddyCat se encuentran el backdoor Samurai y el troyano Ninja, previamente desconocidos, utilizados activamente para tomar el control total sobre instancias infectadas y moverse lateralmente a través de la red.

Detectar APT ToddyCat atacando servidores de Microsoft Exchange

En vista de la creciente sofisticaciĂłn y escala de los ataques APT, es importante tener contenido de detecciĂłn de forma oportuna para defenderse proactivamente contra las intrusiones. Obtenga una regla Sigma a continuaciĂłn proporcionada por nuestro perspicaz desarrollador de Threat Bounty Sittikorn Sangrattanapitak para identificar la actividad maliciosa asociada con APT ToddyCat:

Posible grupo APT ToddyCat dirigido a Europa y Asia DetecciĂłn por cambio de registro (vĂ­a registro)

Esta regla de detección es compatible con 16 soluciones líderes en el mercado de SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de evasión de defensa representada por la técnica de modificar el registro (T1112).

ÂżEntusiasta de monetizar sus habilidades en bĂşsqueda de amenazas e ingenierĂ­a de detecciĂłn? Ăšnase a nuestro Programa de Threat Bounty, desarrolle sus propias reglas Sigma, publĂ­quelas en la plataforma SOC Prime y reciba recompensas recurrentes por su contribuciĂłn.

Obtenga la lista completa de reglas Sigma, Snort y Yara para detectar actividades maliciosas asociadas con amenazas persistentes avanzadas (APTs) al presionar el botón Detectar & Cazar. Los defensores cibernéticos también pueden navegar en nuestro Motor de Búsqueda de Ciberamenazas para obtener detecciones relevantes mejoradas con una amplia gama de información contextual, incluidos enlaces CTI, referencias MITRE ATT&CK y otros metadatos. ¡Simplemente presione el botón Explorar Contexto de Amenazas para sumergirse!

Detectar & Cazar Explorar Contexto de Amenazas

DescripciĂłn del ataque de ToddyCat

APT ToddyCAT entró por primera vez en el punto de mira en diciembre de 2020 cuando investigadores del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) identificaron una campaña maliciosa dirigida a servidores de Microsoft Exchange en Asia y Europa. Según la investigación de Kaspersky, la nueva banda APT aprovechó los exploits ProxyLogon para tomar el control de servidores sin parches y desplegar malware personalizado, como el backdoor Samurai y el troyano Ninja. Los expertos señalan que ambas muestras de malware proporcionan a ToddyCat la capacidad de tomar control sobre las instancias afectadas y moverse lateralmente a través de la red.

La campaña se intensificó con el tiempo, comenzando con un número limitado de organizaciones en Vietnam y Taiwán a finales de 2020, hasta múltiples activos en Rusia, India, Irán, el Reino Unido, Indonesia, Uzbekistán y Kirguistán en 2021-2022. Los hackers de ToddyCat atacaron principalmente organizaciones de alto perfil, incluidas instituciones gubernamentales y contratistas militares. Además, a partir de febrero de 2022, los afiliados de APT ampliaron su lista de objetivos con sistemas de escritorio además de los servidores de Microsoft Exchange.

Curiosamente, las víctimas de ToddyCat están vinculadas a las industrias y regiones frecuentemente atacadas por colectivos de hackers chinos. Por ejemplo, varios objetivos de ToddyCat fueron violados simultáneamente por hackers vinculados a China que aprovecharon el backdoor FunnyDream. Sin embargo, a pesar de las superposiciones observadas, los investigadores de seguridad evitan vincular el APT ToddyCat con los operadores de FunnyDream.

Aproveche la colaboración prolífica con la comunidad global de ciberseguridad de más de 23,000 profesionales de SOC uniéndose a la plataforma de SOC Prime. ¡Defiéndase contra amenazas emergentes y aumente la eficiencia de sus capacidades de detección de amenazas!

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

DetecciĂłn del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en MoscĂş con malware ApolloShadow 5 min de lectura Ăšltimas Amenazas DetecciĂłn del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en MoscĂş con malware ApolloShadow by Daryna Olyniychuk DetecciĂłn del Ataque APT41: Hackers Chinos Explotan Google Calendar y Entregan Malware TOUGHPROGRESS Que Apunta a Agencias Gubernamentales 5 min de lectura Ăšltimas Amenazas DetecciĂłn del Ataque APT41: Hackers Chinos Explotan Google Calendar y Entregan Malware TOUGHPROGRESS Que Apunta a Agencias Gubernamentales by Daryna Olyniychuk Detectar Ataques de APT28: la Unidad 26156 del GRU ruso Apunta a Empresas Occidentales de LogĂ­stica y TecnologĂ­a que Coordinan Ayuda a Ucrania en una Campaña de Hackeo de Dos Años 8 min de lectura Ăšltimas Amenazas Detectar Ataques de APT28: la Unidad 26156 del GRU ruso Apunta a Empresas Occidentales de LogĂ­stica y TecnologĂ­a que Coordinan Ayuda a Ucrania en una Campaña de Hackeo de Dos Años by Veronika Telychko
Todas las noticias